Descripción:
La vulnerabilidad descubierta por el equipo de RIPS Technologies GmbH, permite la ejecución de comandos sobre el servidor que aloja el sitio web debido a que se logra combinar dos tipos de ataques Path Traversal y Local File Inclusion. Este fallo estuvo presente por más de 6 años en el núcleo del WordPress, es necesario tener presente que, para explotar esta vulnerabilidad se debe contar con un usuario que tenga permisos de autor sobre el sitio.
Gracias a la función _wp_attached_file dentro del WordPress es posible cargar una imagen modificada y así posteriormente manipular las acciones al consultarla vía web es lo que ayuda a la explotación de la vulnerabilidad y lograr la ejecución remota de comandos.
Proceso de ejecución
Es una breve descripción de como es posible obtener una shell sobre el php que permite ejecutar comandos a nivel del servidor, esta explotación es posible cumpliendo ciertas condiciones;
WordPress anterior a 5.0.0
Acceso al wordpress con una cuenta que tenga permisos de autor.
imagecolormatch función en PHP anterior a 5.6.40, 7.x, anteriores a 7.1.26, 7.2.x, anteriores a 7.2.14 y 7.3.x.
Código fuente disponible para pruebas de concepto en github
CVE: No publicado
Factor de Riesgo: Alto
Valor CVSS Base: No publicado
Solución:
Actualizar el WordPress a la ultima versión estable 5.1
Referencias:
https://blog.ripstech.com/2019/wordpress-image-remote-code-execution/#disqus_thread
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-6977