wpDiscuz插件身份验证绕过漏洞CVE-2024-9488分析

wpDscuz是一个应用非常广泛的WordPress插件，以其交互式评论功能和用户参与工具而闻名，现已成为WordPress网站必备的工具之一。

一、基本情况

wpDscuz插件彻底改变了WordPress网站的评论功能，实现了标准评论功能无法实现的高级功能，为网站的发布者和用户提供更好的体验。

wpDiscuz 不仅是一个评论插件，其实时评论更新功能创造了热烈的讨论场所，分层评论功能则显示允许以有组织的方式显示复杂的讨论。

该插件还具有上传图像和媒体的能力，为用户提供丰富的表达能力，完全配备现代SNS中常见功能，如点赞按钮、关注功能和提及功能。

其提供丰富定制选项，如评论表单设计和布局、发帖限制、垃圾邮件措施等，具备与 Google reCAPTCHA 协作和IP限制等丰富安全功能。

栋科技漏洞库关注到开发人员近期更新了wpDiscuz 7.6.25版本，以修复一个身份验证绕过中存在严重漏洞，漏洞追踪为CVE-2024-9488。

二、漏洞分析

CVE-2024-9488漏洞是由于社交登录令牌返回的用户验证不足导致的，wpDiscuz 插件在 7.6.24 及之前所有版本中都易受到身份验证绕过。

未经身份验证攻击者能以站点的任何现有用户（例如管理员）身份登录（如果他们有权访问电子邮件且用户没有返回令牌服务现有帐户）。

CVE-2024-9488的CVSS评分为9.8，攻击者可以获得对网站管理功能的完全访问权限，从而更改内容、安装恶意插件，甚至锁定合法用户。

wpDiscuz 插件的活跃安装量已超过80,000个网站上使用，作为一个非常流行的评论增强插件，CVE-2024-9488漏洞带来的影响无法估量。

wpDiscuz 身份验证系统中一个关键实现缺陷是此漏洞的根本原因，社交登录功能中认证流程验证过程存在严重缺陷，容易被攻击者利用。

简单来说就是能够获取用户电子邮件地址并利用此漏洞的攻击者可能获得对其帐户未经授权的访问，如果不加以控制可能威胁整个网站。

1、wpDiscuz 认证绕过漏洞技术分析

（1）漏洞机制：

①典型的社交登录过程假设以下身份验证流程：

//正规认证流程
$provider = sanitize_text_field($_GET['provider']);
$code = sanitize_text_field($_GET['code']);
$state = sanitize_text_field($_GET['state']);
//会话验证
if (!isset($_SESSION['oauth2state']) || $_SESSION['oauth2state'] !== $state) {
    throw new Exception('Invalid state parameter');
}
//从OAuth提供程序获取用户信息
$user = $provider->getResourceOwner($token);
$email = $user->getEmail();

②然而，wpDiscuz 实现包含以下易受攻击的代码：

// 薄弱实施示例
$user_email = $_POST['user_email']; // 未验证的输入
$social_id = $_POST['social_id'];   // 未验证的输入
// 不正确的认证处理
if ($social_id) {
    $user = get_user_by('email', $user_email);
    if ($user) {
        wp_set_auth_cookie($user->ID);
        // 使用户直接登录
    }
}

（2）攻击场景具体示例

攻击者可以通过伪造 HTTP 请求来绕过身份验证，例如：

POST /wp-admin/admin-ajax.php HTTP/1.1
Host: target-wordpress-site.com
Content-Type: application/x-www-form-urlencoded
action=wpdiscuz_social_login
user_email=admin@target-wordpress-site.com
social_id=fake_social_id
provider=facebook

（3）安全问题

①输入值验证不充分

// 脆弱的代码示例
$email = $_POST['email']; // 直接POST使用数据
// 安全实施示例
$email = sanitize_email($_POST['email']);
if (!wp_verify_nonce($_POST['_wpnonce'], 'social_login')) {
    wp_die('Invalid nonce');
}

②会话管理不足

// 必要的会话验证
if (!isset($_SESSION['oauth_state']) ||
    $_SESSION['oauth_state'] !== $_POST['state']) {
    wp_die('Invalid session state');
}

（4）对策实施例

安全实施需要采取以下措施：

     // 安全实施示例
    function secure_social_login() {
    // NONCE的验证
    check_ajax_referer('social_login_nonce', 'nonce');
    // 供应商验证
    $allowed_providers = ['facebook', 'google', 'twitter'];
    $provider = sanitize_text_field($_POST['provider']);
    if (!in_array($provider, $allowed_providers)) {
        wp_die('Invalid provider');
    }
    // 令牌验证
    $token = verify_oauth_token($_POST['token']);
    if (!$token) {
        wp_die('Invalid token');
    }
    // 获取和验证用户信息
    $user_info = get_oauth_user_info($token);
    if (!$user_info || !verify_user_email($user_info['email'])) {
        wp_die('Invalid user information');
    }
}

2、WordPress 网站的紧急安全措施和运营增强

全面防范wpDiscuz漏洞是确保站点安全当前的首要任务，因此网站运营商或系统管理员可以通过以下措施修复CVE-2024-9488高危漏洞。

（1）您可以使用以下命令更新到最新版本：

#转到插件目录
cd wp-content/plugins/wpdiscuz
#备份当前版本
tar -czf wpdiscuz-backup.tar.gz ./*
#更新为最新版
wp plugin update wpdiscuz

（2）增强性安全措施（仅供参考）

将以下安全强化代码添加到您的 WordPress 配置文件中：

//wp-config.php添加到
define('DISALLOW_UNFILTERED_HTML', true);
define('WP_DEBUG', false);
define('FORCE_SSL_ADMIN', true);
//登录尝试限制
limit_login_attempts(5, 3600); // 限制1小时最多5次

建立监控系统 ，配置以下日志监控以检测未经授权的访问：

// functions.php 添加到
function log_failed_login_attempts($user_login) {
    $log_file = WP_CONTENT_DIR . '/login-attempts.log';
    $timestamp = current_time('mysql');
    $ip = $_SERVER['REMOTE_ADDR'];
    error_log("[$timestamp] Failed login attempt for user: $user_login from IP: $ip\\n", 3, $log_file);
}
add_action('wp_login_failed', 'log_failed_login_attempts');

（3）长期安全强化措施（仅供参考）

要继续加强站点的安全性，请将以下设置添加到网站 .htaccess：

# 设置安全标题
<IfModule mod_headers.c>
    Header set X-XSS-Protection "1; mode=block"
    Header set X-Frame-Options "SAMEORIGIN"
    Header set X-Content-Type-Options "nosniff"
    Header set Referrer-Policy "strict-origin-when-cross-origin"
</IfModule>
# PHP禁止直接访问文件
<FilesMatch "\\.php$">
    Order Allow,Deny
    Deny from all
</FilesMatch>

（4）定期保养计划（仅供参考）

创建每月安全检查记录并定期检查以下项目：

# 插件更新状态确认
wp plugin list --format=csv
# 检查文件权限
find . -type f -perm /111
# 创建数据库备份
wp db export backup-$(date +%Y%m%d).sql

通过结合上述措施，不仅可以显著提高wpDiscuz插件的漏洞的安全级别，还能显著提高整个 WordPress 网站的安全级别，保证长久安全。

这里需要特别提醒，特别提醒，特别提醒，重要的话说三遍：上述操作强调专业性，非专业人士请勿随意操作，防止网站数据丢失等情况。

三、影响范围

wpDiscuz < 7.6.25

四、修复措施

wpDiscuz开发人员已在版本 7.6.25 中解决CVE-2024-9488漏洞，强烈建议所有使用该插件用户立即采取措施将插件版本更新到安全版本。