行业新闻与博客

流行的 WordPress 论坛插件 bbPress 背后的开发人员已修复了一个严重的安全漏洞，该漏洞可能导致未经身份验证的特权升级。

据发现该漏洞的安全研究人员称，利用逻辑错误的攻击者可以授予自己删除论坛活动，导入或导出论坛用户以及创建新论坛主持人的权限。

“通过简单地将 BBP 的论坛，角色与价值参数 bbp_keymaster 的注册请求，就可以有效地使新创建的用户一个‘钥匙大师’，这是一个论坛管理员，获得完整版本控制，解释说：” 拉斐尔卡尔格在博客文章于 5月29日发布。

“我认为，由于易于利用，创建后门用户的人们很可能会对其进行大规模利用，因为一旦他们创建了用户，无论网站所有者是否对插件进行了修补，用户仍然会存在。”告诉每日痛饮。

但是，他指出该漏洞利用的条件是要在目标站点上启用用户注册，并且要嵌入 BBPress 注册表格才能检索现时，从而打破了漏洞的严重性。

元发现

卡尔格发现了一些歪了与 bbPress 的插件，当他发现的 add_filter 正在引发了 signup_user_meta 标签，并传递到 bbp_user_add_role_to_signup_meta 功能，这是用户注册过程中调用。

研究人员解释说，在 WordPress 中，add_filter 充当在运行时更改内部数据的“钩子”。

他补充说：“这很有趣，因为根据 WordPress 开发人员文档，signup_user_meta 是一个用于角色操纵和在用户注册期间添加用户元数据属性的过滤器。”

“这意味着 bbPress 会在用户注册时更改用户的元数据角色。这真的不足为奇，因为 bbPress 是论坛软件，并且用户，主持人和管理员的角色是分开的。”

安全更新

卡格说，他已于 5月27日通知 bbPress 团队该漏洞，并于当天做出回应。

这个发现通过 WordPress HackerOne 程序为他赢得了一笔错误赏金。

在他的博客文章中，研究人员称赞 bbPress 团队为开源论坛软件“非常迅速地发布了补丁”，该论坛软件拥有超过 30 万的有效安装。

“与 WP 和 bbPress 开发人员一起工作真是一种荣幸，” Karger 告诉 The Daily Swig。

bbPress 2.6.5 发布于 5月28日，它成功地验证了新角色，从而消除了该缺陷。

该版本还修复了可通过超级主持人功能利用的身份验证特权升级错误，以及论坛列表中的自 XSS 漏洞。

bbPress 团队已敦促运行 bbPress 2.6 的任何人立即进行更新。

卡尔格解释了为什么他的报告归入 WordPress 错误赏金计划的保护之下，他说：“由于大量的主动安装和对用户的管理，它被视为 WordPress 至关重要的目标。”

Karger 使用 Burp Suite 手动利用此漏洞，并将发现归功于“借助 Nathan Hrncirik 设置虚拟 WordPress 环境的白盒方法”。

Daily Swig 已与 bbPress 团队联系，以寻求进一步的评论。

本文由机器译制