Nex Team 在 Backup Migration 插件中发现了一个 PHP 代码注入漏洞 CVE-2023-6553，CVSS评分9.8。该插件有助于创建备份站点。该插件的特性包括以及时的方式和通过多种配置调度备份，如精确定义应当位于备份中的具体文件和/或数据库、备份的存储位置以及名称等。

Defiant 公司的资深 Web 应用漏洞研究员 Alex Thomas指出，“该漏洞可导致未认证的威胁行动者注入任意PHP代码，从而导致站点遭完全攻陷。” Wordfence 公司表示在研究报告完成前的仅24小时内就拦截了利用该漏洞的39起攻击活动。

Nex Team 将该漏洞提交到 Wordfence 设立的漏洞奖励计划，后者通知了 Backup Migration 插件的创造者 BackupBliss，几小时后补丁发布。Wordfence 为此向研究员颁发2751美元的奖励。

WordPress CMS 上的网站数以亿计，该平台及其用户称为威胁行动者的庞大攻击面，因此常常是恶意攻击的目标。其中很多攻击通过插件安装恶意软件，轻松导致数千个甚至数百万个站点易遭攻击。攻击者还倾向于快速利用WordPress 中发现的漏洞。

Wordfence 网站提到，该RCE漏洞是因为“攻击者能够控制传递给 include 的值，后续借此实现远程代码执行。这就使得未认证攻击者能够轻松在服务器上执行代码。”

具体而言，Backup Migration 插件使用的/includes/backup-heart.php 文件的第118行试图包含来自 BMI_INCLUDES 目录中的bypasser.php。BMI_INCLUDES 目录由拼接 BMI_ROOT_DIR 和第64行商的 includes 字符串而定义；然而，BMI_ROOT_DIR 通过第62行商的 content-dir HTTP 标头定义，从而导致漏洞产生。这就意味着 BMI_ROOT_DIR 是用户可控状态。通过提交特殊构造的请求，威胁行动者可利用该漏洞包含任意的恶意PHP代码并在WordPress 实例安全上下文中的底层服务器上执行任意命令。

所有1.3.7及以下版本的 Backup Migration 版本均可通过/includes/backup-heart.php 文件易受攻击。该漏洞已在1.3.8版本中修复。Wordfence 在文章中提到，“如果知道有人在网站上使用该插件，我们建议与之分享本安全公告，确保他们的站点是安全的，因为该漏洞可造成重大风险。”建议用户尽快更新至最新版本。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 "赞” 吧~