WordPress插件YITH WooCommerce Wishlist SQL注入漏洞

作為我們對Sucuri防火牆定期研究審計的一部分，我們發現了一個願望清單插件YITH WooCommerce Wishlist，存在SQL注入漏洞。據統計，該插件目前至少已被50000+的wordpress站點安裝使用。

受影響範圍

這個漏洞主要出現在2.2.0版本以下，主要是因為該版本缺少對用戶輸入數據進行嚴格過濾措施。攻擊者（至少有一個用戶帳戶）可能會利用該缺陷盜取用戶敏感數據，甚至通過某些配置項危害你整個的WordPress安裝。

需要提醒的是在MySQL版本低於5.7的伺服器中，該漏洞極易被利用。

這個漏洞有個非常有意思的地方，也是我們決定要發布該安全公告的原因，就是使用這個插件的站點通常會啟用免費「用戶註冊」功能，以允許用戶的偏好（例如願望清單）被存儲和訪問，以便後續使用。

技術細節

產生漏洞的代碼，可在2.1.2版本中的includes/class.yith-wcwl-shortcode.php的第523行中找到。這段代碼是get_products()函數的一部分，用於返回特定用戶的所有wishlist元素：

如果攻擊者控制了$limit變數，就可以為其賦任意值。例如構建一個查詢語句。這樣攻擊者將有可能直接獲取走，幾台伺服器上的所有敏感數據。例如加密哈希和電子郵件等。

攻擊者想要達到構建查詢的目的必須滿足以下條件：

分頁值必須為「yes」

count變數必須大於1（此變數存儲特定用戶的wishlist元素數量）

limit變數必須被設置

攻擊者可以通過includes/class.yith-wcwl-shortcode.php中定義的短代碼yith_wcwl_wishlist來滿足所有這些條件：

攻擊者唯一要做的就是創建一個用戶帳戶，並調用漏洞短代碼（具體可以參考我們此前的文章）。

緊急措施

檢查你的插件版本，並儘快將其更新到最新版！

如果由於某種原因你無法升級，我們建議你使用Sucuri或其它WAF來保障你的站點安全。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！