為什麼會存在這個漏洞？ CVE-WP 表格）

最近幾天，我注意到Wordpress WPForms外掛程式中的CVE-2024-11205（CVSS 8.5）漏洞引起了許多關注。主要有3個原因：

• WPForms 是一個廣泛使用的插件，擁有超過 600 萬個活躍安裝量（使用它的網站）
• 這是一個高危險漏洞
• 非常容易理解

最初的 Wordfence 貼文已經很好地解釋了該漏洞及其後果。因此，我的目標是不同的：理論上解釋這樣一個奇怪的簡單漏洞如何在最常用的 Wordpress 插件之一中保持開放狀態超過一年。

漏洞

回顧原始帖子中的信息。外掛程式使用 ajax_single_ payment_refund() 和 ajax_single_ payment_cancel() 函數來處理 Stripe 付款操作。然而，沒有驗證登入使用者是否有權執行此類操作⚰️。最重要的是，這些功能受到 wpforms_is_admin_ajax 方法的“保護”，該方法根本不檢查用戶是否是管理員，正如某些人可能認為的那樣。

使固定

從漏洞緩解開始，官方修復更新至1.9.2.2版本。在這個版本的程式碼中，ajax_single_ payment_refund 和 ajax_single_ payment_cancel 這兩個功能新增了授權驗證。然而，wpforms_is_admin_ajax 保持原樣？ .

該漏洞何時出現？

第一個易受攻擊的版本是 2023 年 11 月 28 日發布的 WPForms 1.8.4。該版本引入了“新的 Stripe 支付工具”，其中包括“同步 Stripe 儀表板”和“定期付款邏輯”。

此次更新帶來了 15 個新檔案的新增、64 個檔案的刪除以及 425 個檔案的編輯。聽起來像是一個非常適合手動審核的版本 ☠️。

為什麼會存在該漏洞？

自動化安全工具可以檢測嗎？

為了回答這個問題，我測試了 SAST Semgrep（我非常喜歡使用）和 Gepeto（又名 ChatGPT）。

塞姆格雷普

我跑了 semgrep 。整個專案他都無法偵測到這個漏洞？ .

結果符合預期。官方將授權失敗漏洞視為業務邏輯漏洞。這意味著自動化工具很難檢測到它們。

常見弱點枚舉 CWE-862 缺少授權似乎同意。

傑佩托

我問 ChatGPT 他是否可以發現過去程式碼中的任何問題。我只向他發送了 ajax_single_ payment_refund 和 wpforms_is_admin_ajax 方法（因為我不想用完當天的免費 ChatGPT？）。

令人難以置信的是，他成功地識別了該漏洞並指出了解決方案（與真正的修復非常相似？），以及此程式碼中的其他“可能的漏洞”，例如無速率限製或日誌記錄。

「啊，但你在整個專案上運行 SAST，同時指導 AI」生活真的就是這樣嗎？ ?‍♂️

為什麼會存在該漏洞？

可見，傳統的安全工具很難偵測到授權漏洞。

根據CWE-862 Missing Authorization，可以透過程式碼審查、滲透測試和威脅建模等手動分析來偵測此漏洞。而且效果也只是「中等」？ .

其他談論授權漏洞的資料強調這是一類處理複雜且在現實世界中常見的漏洞，例如 OWASP Top 10 API Security 2019 和 2023 將授權漏洞列為第一和第三位置。

另一點是，先前用作驗證的方法（wpforms_is_admin_ajax）有一個非常糟糕的名稱，旨在迷惑開發人員和程式碼審查人員，因為該函數不會檢查登入使用者是否是管理員。

所以，我的理論是，這個漏洞存在是因為 1）如果沒有人工分析，幾乎不可能檢測到； 2) wpforms_is_admin_ajax 方法會讓許多分析程式碼的審閱者感到困惑。

我希望未來能帶來其他類似的分析。如果您喜歡，請分享給阿姨和奶奶。疑問？我總是使用 Bluesky、Threads 和 Twitter。

以上是為什麼會存在這個漏洞？ CVE-WP 表格）的詳細內容。更多資訊請關注PHP中文網其他相關文章！