信息收集

该漏洞由安全专家J.D.Grimes发现并上报，并且披露了如何利用该漏洞查看未授权文章的方法。但是目前我还找不到任何相关的PoC，因此首先我们需要尽可能地收集关于该漏洞的信息。首先，我查看了不同安全厂商关于该漏洞的声明，大部分厂商都引用了相同的一句话：“该漏洞也许可以允许他人查看WordPress中未授权的文章”。

参考资料

1、https://blog.wpscan.org/wordpress/security/release/2019/10/15/wordpress-524-security-release-breakdown.html

2、https://blog.wpsec.com/wordpress-5-2-4-security-release/

3、https://www.reddit.com/r/netsec/comments/di9kf2/wordpress_524_security_release_breakdown/f3vbuyh/

根据收集到的信息，我在WordPress的SVN仓库/GitHub库中，找到了5.2-branch分支，点击最近的commit，然后查看提到了“unauthenticated posts”或者“viewing posts”的相关commit。此时，我找到了一个相关的commit：f82ed753cf00329a5e41f2cb6dc521085136f308。

补丁分析

这一个commit只修改了两行代码，删除了static关键字，并修改了部分if条件语句：

根据我的猜想，被删除的static关键字跟这个漏洞有着直接的关系。wp-includes/class-wp-query.php的第731行代码开始包含parse_query函数了，而该函数可以过滤并解析传入的所有查询参数（$_GET）。

从第696行到第922行的代码可以根据给定的参数来设置$this->is_single、$this->is_attachment以及$this->is_page。这些条件分支都基于else if实现，但其中只有一个比较关键：

我们肯定不是想设置attachment、name、p或者hour之类的参数，因为这些参数可以绕过代码中的条件分支。但是我们又不能直接设置pagename或page_id，因为我们并不知道这些参数的值，而且些参数将可能导致访问控制检查失效。

这里，我们需要在参数列表中使用static=1。研究了半天之后，我找到了

函数，而这个函数可以使用已解析的参数来查询数据库内容：

在多个位置使用var_dump调试后，我找到了下列代码：

除了static=1之外，我们并没有设置其他特定的查询参数，我们在$this->posts = $wpdb->get_results($this->request);语句之前插入var_dump($this->request);，输出的结果如下：

该语句可以返回数据库中的所有页面，包括password protected、pending及drafts类别的页面。因此，! empty( $this->posts ) && ( $this->is_single || $this->is_page )对应的值为true。

接下来，该函数会检查第一篇文章的状态“$status = get_post_status( $this->posts[0] );”：

如果第一篇文章的状态不是public，则将进一步执行访问控制检查。比如，当用户未经授权时，代码将会清空$this->posts。

漏洞利用

利用该漏洞的方法也非常简单，首先我们可以控制查询流程，使第一篇文章的状态为published，但返回数组中包含多篇文章。

我们首先需要创建一些测试页面：即一个处于已发布状态的页面和一个处于草稿状态的页面。

这里我使用的是页面，因为post_type=’page’是WordPress的默认设置，但如果有需要，我们可以设置&post_type=post，这样就能修改文章类型，变成post_type = ‘post’。

目前我们知道，如果在WordPress的URL添加?static=1，即可以查看到网站的隐私内容。在访问控制检查代码的前面插入var_dump($this->posts);，可以看到http://wordpress.local/?static=1这个URL会返回如下内容：

大家可以看到，数组中的第一个页面为草稿(["post_status"]=>string(5) “draft”)，因此页面是没有内容的：

但是，我们可以使用其他的方法来控制返回的内容：

1、order with asc or desc

2、orderby

3、m with m=YYYY, m=YYYYMM or m=YYYYMMDD date format

4、…

在这种场景下，我们只需要颠倒返回元素的顺序即可实现漏洞利用。

接下来，访问http://wordpress.local/?static=1&order=asc，我们就可以查看到隐私内容了：

除此之外，我们还可以利用该漏洞查看password protected以及private状态的文章：

原文链接：https://www.freebuf.com/vuls/218876.html