Yazılım güvenlik şirketi Synopsys, Pluck CMS sisteminde yeni bir uzaktan kod yürütme güvenlik açığı (RCE) keşfetti. Pluck, kendi web sitenizi kurmak ve yönetmek için tasarlanmış PHP’de uygulanan bir içerik yönetim sistemidir (CMS). Kullanım kolaylığı ve basitlik göz önünde bulundurularak tasarlanan Pluck, küçük bir web sitesi çalıştırmak için çok uygundur.
Pluck CMS, bir “albümler” modülüne sahiptir. Albümler, sitedeki web sayfalarına eklenebilen resim koleksiyonları oluşturmak için kullanılır. Albümler, kullanıcının sitede bulunmadan önce bir normalleştirme sürecinden geçen JPEG, PNG ve GIF dosya türlerini yüklemesine olanak tanır.
Ancak, sistem içinde göründüğü gibi değil. Dosya uzantısı doğrulama eksikliğinin bir sonucu olarak, gömülü bir PHP web kabuğu içeren hazırlanmış bir JPEG yükü yüklemek mümkündür.
Bunu yapmak, Pluck kullanıcılarını ve CMS’yi geliştirmek için kullandıkları ekosistemleri saldırılara karşı savunmasız bırakır. Bir tehdit aktörü, temel alınan web sunucusunda RCE’ye ulaşmak için doğrudan ona gitmeyi seçebilir. Albümler modülü özelliğine erişmek ve dolayısıyla bu güvenlik açığından yararlanmak için Pluck CMS web arayüzü için yönetici kimlik bilgileri gerekir. Ancak, bunlar elde edildikten sonra (ki bu tamamen yetenekli bir tehdit aktörünün yetenekleri dahilindedir) doğrudan erişime sahip olacaktır.
Web arabirimi aracılığıyla kimlik doğrulamasının ardından, bir tehdit aktörünün albümler modülüne gitmesi ve örnek bir albüm oluşturması gerekir: Bir albüme yüklenen görüntüler, PHP-GD grafik kitaplığından gelen işlevler aracılığıyla normalleştirmeye tabi tutulur ve bu da basit web kabuğu gömme tekniklerini önler. . Ancak, Jellypeg aracını kullanarak bu normalleştirmeden kurtulacak bir web kabuğunu bir JPEG görüntüsüne gömmek, böyle bir yük oluşturmak ve onu yürütülebilir bir dosya uzantısıyla (.php, .phar, vb.) yüklemek mümkündür. Yüklenen dosyaya gitmek doğrudan RCE’ye izin verir.