WordPress零时漏洞可能洩露密码重设连结允骇客取得网站控制权

示意图，与新闻事件无关。

波兰安全研究人员Dawid Golunski公布WordPress密码重设功能存在零时攻击漏洞，可让骇客取得合法网站的密码重设连结，进而在不需验证情况下，取得网站控制权。
 
研究人员发现的漏洞编号为CVE-2017-8295，存在WordPress製作密码重设信件的过程中，在有人发出密码重设要求时，未确保邮件只发送到合法网站持有人帐号。由于WordPress製作密码重设邮件时可使用用户端提供的主机名，因此攻击者将送出的HTTP呼叫中的SERVER_NAME变项，修改成攻击者控制的伺服器名。这就会让之后标题包含From/Return路径的邮件，都会传送这个恶意邮件位址。
 
研究人员举出二种不需用户介入的可能攻击情况，一是攻击者发送大量垃圾邮件塞爆合法拥有者的信箱，等信箱无法收信，之后WordPress发出的密码重设邮件来到就会被弹回，这时就会送到攻击者控制的信箱中。另一个攻击策略是等网站管理员不在，设定自动回覆时。当密码重设邮件寄出，如果管理员自动回覆信件包含原始内容，则攻击者就能加以拦截。
 
Golunski指出，他在10个月前即通知WordPress，但一直未见解决，因此决定将研究公开。
 
不过这些攻击手法颇为「搞岗」（费力），因而减低了其风险，而且安全公司Sucuri研究人员也认为，上述攻击手法对象只限于单一IP网址的网站，不适用于多数共用伺服器的网站，受害者应只限于组态不佳的网站。
 
希望防堵被骇可能性的用户，可以启用UseCanonicalName，强制使用静态的SERVER_NAME值。