ยังคงวนเวียนกับช่องโหว่ของ WordPress โดยก่อนหน้านี้ได้เคยพูดถึงช่องโหว่ RCE ใน WordPress 4.6 มาคราวนี้ก็ยังเจอในส่วนเดิมคือการจัดการ SERVER_NAME ที่ไม่ดีพอของ WordPress แต่คราวนี้เป็น WordPress ตัวใหม่สุดคือ 4.7.4 และช่องโหว่ดังกล่าวยังไม่มี patch ออกมาแก้ไขอีกด้วย

ผู้ที่ค้นพบช่องโหว่นี้คือ Dawid Golunski ได้รับ CVE เป็น CVE-2017-8295 โดย Dawid พบว่าการ reset password ของ WordPress มีการนำค่าของ SERVER_NAME (ซึ่งสามารถกำหนดได้ผ่าน HOST Header ใน HTTP Request) ไปเป็นค่า From/Return-Path header ของการเมล์ตอบกลับไป reset password หรือก็คือหาก Attacker กำหนด Host เป็น attackers-mxserver.

พบข่องโหว่ร้ายแรงใน Core ของ WordPress 4.6 ทำให้สามารถถูกยึดเครื่องได้ง่ายดายโดยไม่จำเป็นต้องเข้าสู่ระบบแต่อย่างใด (Unauthentication) หากแต่เพียงเว็บไซด์ต้องสามารถเข้าถึงได้โดยไม่ใช้ domain name (Virtual Host) เท่านั้น

Dawid Golunski พบช่องโหว่ RCE ใน WordPress <= 4.6 โดยได้รับ CVE เป็น CVE-2016-10033 ช่องโหว่นี้เกิดจากในส่วนของการส่ง email ไปยัง user จะเป็นการดูจาก SERVER_NAME ที่ client ส่งมาให้ (ตัวอย่าง event ที่จะทำให้เกิดการส่ง email เช่น การ register user, การลืมรหัสผ่าน และอื่นๆ) ซึ่งช่องโหว่นี้จำเป็นต้องมี PHPMailer function ที่มีช่องโหว่ด้วย
โดยปกติค่า SERVER_NAME สามารถกำหนดได้ผ่าน HOST Header ทำให้หาก Hacker ส่ง request การลืมรหัสผ่านของ user admin ไปให้กับ Website เป้าหมาย แล้วกำหนด HOST Header เป็น domain ใดๆพร้อมกับการกำหนด comment ที่เป็น command เข้าไปต่อท้ายกับ domain เมื่อถูกส่งต่อไปทำงานด้วย PHPMailer function ที่มีช่องโหว่ก็จะทำให้เกิด Remote Code Execution ได้นั่นเอง

ตัวอย่างการ request
POST /wordpress/wp-login.