未修补的DoS漏洞可以帮助任何人关闭WordPress网站

由于该公司否认修补了该问题，该漏洞（CVE-2018-6389）仍未修补，并影响了过去九年发布的几乎所有版本的WordPress，包括最新稳定版本的WordPress（版本4.9.2）。

以色列安全研究人员巴拉克·塔威利发现，该漏洞存在于道路中。”加载脚本。php“WordPress CMS中的内置脚本处理用户定义的请求。

对于那些不知道的人，加载脚本。php文件只为管理员用户设计，通过将（服务器端）多个JavaScript文件组合到一个请求中，帮助网站提高性能并更快地加载页面。

然而，为了在登录之前让“load scripts.php”在管理员登录页面（wp login.php）上工作，WordPress的作者没有保留任何身份验证，最终使任何人都可以访问该功能。

根据您安装的插件和模块，加载脚本。php文件有选择地调用所需的JavaScript文件，方法是将文件名传递到“load”参数中，并用逗号分隔，如下URL所示：

https://your-wordpress-site.com/wp-admin/load-scripts.php?c=1&；加载=编辑器、通用、用户配置文件、媒体小部件、媒体库

加载网站时，“加载脚本”。php（在页面开头提到）试图找到URL中给出的每个JavaScript文件名，将其内容附加到单个文件中，然后将其发送回用户的web浏览器。

WordPress DoS攻击的工作原理

根据研究人员的说法，可以简单地强制加载脚本。php通过将所有可能的JavaScript文件（即181个脚本）的名称传递到上述URL，一次性调用所有可能的JavaScript文件，通过消耗高CPU和服务器内存，使目标网站稍微变慢。

Tawily说：“有一个定义良好的列表（$wp_scripts），用户可以将其作为load[]参数的一部分进行请求。如果请求的值存在，服务器将对与用户提供的值关联的定义良好的路径执行I/O读取操作。”。

虽然一个请求不足以让访问者访问整个网站，但Tawily使用了概念验证（PoC）python脚本doser。py，它向同一个URL发出大量并发请求，试图尽可能多地使用目标服务器的CPU资源，并将其关闭。

黑客新闻已经验证了DoS攻击的真实性，该攻击成功摧毁了我们在中型VPS服务器上运行的WordPress演示网站之一。

Tawily说：“是时候再次提到load-scripts.php不需要任何身份验证了，匿名用户可以这样做。在大约500个请求之后，服务器再也没有响应，或者返回了502/503/504状态码错误。”。

然而，来自一台连接速度约为40 Mbps的机器的攻击不足以摧毁另一个运行在具有高处理能力和内存的专用服务器上的演示网站。

但这并不意味着该漏洞对运行在重型服务器上的WordPress网站无效，因为应用程序级攻击通常需要更少的数据包和带宽来实现相同的目标—；拆除一个网站。

因此，拥有更多带宽或几个机器人的攻击者也可以利用该漏洞攻击大型和流行的WordPress网站。

没有可用的修补程序–；缓解指南

除了全面披露，Tawily还提供了WordPress拒绝服务攻击的视频演示。你可以通过观看视频来了解攻击的情况。

Tawily知道DoS漏洞不在WordPress bug bounty计划的范围内，因此通过HackerOne平台向WordPress团队报告了该DoS漏洞。

然而，该公司拒绝承认这一问题，称这种漏洞“应该在服务器端或网络级别而不是应用程序级别得到缓解”，这超出了WordPress的控制范围。

这个漏洞似乎很严重，因为WordPress拥有近29%的网络，使数百万网站容易受到黑客攻击，使其合法用户无法访问。

对于无法提供针对应用层攻击的DDoS防护服务的网站，研究人员提供了WordPress的分叉版本，其中包括针对该漏洞的缓解措施。

然而，我个人不建议用户安装修改后的CMS，即使它来自原作者以外的可信来源。

除此之外，研究人员还发布了一个简单的bash脚本来修复这个问题，以防您已经安装了WordPress。