研究人员公开了一个存在6年历史的WordPress核心功能中的盲服务器端请求伪造(SSRF)漏洞，该漏洞可能导致分布式拒绝服务(DDoS)攻击。在9月6日发布的一篇博文中，Sonar研究人员详细介绍了他们如何能够利用WordPress中的pingback请求功能中的漏洞。该漏洞于2017年首次浮出水面，但仍未修补。

Pingback请求允许在另一个网站链接到他们的博客时通知WordPress作者。

pingback功能在XMLRPC API上公开，可以通过xmlrpc.php文件访问。使用这种方法，其他博客可以宣布pingback。

Sonar研究人员解释说，此功能可以使攻击者通过恶意要求数千个博客检查单个受害者服务器上的pingback来执行DDoS 攻击。

尽管可以通过复选框关闭pingback，但它们仍默认在WordPress实例上启用。

研究人员指出，值得注意的是，他们“无法在不依赖其他易受攻击的服务的情况下，普遍地确定利用这种行为接管易受攻击的实例的方法”。

相反，该漏洞可以减轻对受影响组织内部网络中其他漏洞的利用。

Sonar的漏洞研究员和博客作者Thomas Chauchefoin说：“2012年，围绕pingback功能的风险开始为人所知，WordPress维护人员对此类请求的目的地进行了限制：它们将受到限制到一组受限制的端口，只有公共IP地址等。

“从本质上讲，我们的发现允许绕过其中一些限制并从本地网络定位主机。攻击者可以使用它向原本无法访问的主机发送请求，例如，利用内部服务中的漏洞。”

他补充说：“这个漏洞存在于大多数与pingback相关的CVE的谱系中，但研究人员记录如何绕过这一特定限制的最古老指标是从2017年开始的。”

SonarSource研究人员于1月21日向WordPress披露了该问题。据Sonar称，该问题被确认为重复错误，并于2017年1月向WordPress团队报告。

Chauchefoin补充说：“我们于1月21日通过官方渠道报告了该漏洞，并采用了相当标准的90天披露政策。在同意30天的延长期后，我们审查了第一个补丁仍等待上游合并。”

一位WordPress安全团队发言人说：“正如Sonar博客文章中所指出的，这是一个影响较小的问题，利用它需要‘将其链接到第三方软件中的其他漏洞’。

“因此，安全团队认为这个问题的优先级较低。”

他们补充说：“由于其严重性较低，团队正在讨论是否可以公开解决此问题，作为一般的强化措施。”

WordPress指出，利用该漏洞需要“WordPress之外的多个系统中的漏洞”，但它建议网站所有者始终使用其托管服务提供商提供的DNS服务器。

他们补充说：“对于pingback，用户可以关闭pingback。如果pingback对被ping的帖子打开，XMLRPC端点只会发出HTTP请求（详细信息在Sonar博客帖子中）。

“网站所有者可以(a)使用原始帖子中提供的代码片段在全球范围内关闭pingbacks和/或(b)关闭他们博客帖子的 pingbacks。”

Chauchefoin补充说：“将未修补的漏洞公开对我们来说是个例外，是一个经过深思熟虑的决定。由于我们有证据证明我们的发现与之前的公共工作相冲突，并且需要大量工作来武器化对抗现实世界的环境，我们认为不再隐瞒细节只会对防御者不利。

“我们要向WordPress维护者的努力致敬；即使我们无法达到可能的最佳结果，为40%的所有网站背后的软件进行反向移植修复也并非易事！”

2012年，WordPress核心修复了pingback请求功能中允许DDoS攻击的另一个漏洞。

研究人员报告说，Acunetix报告的该问题可能会以多种方式被滥用，并在发现后不久在WordPress Core版本中“作为公共强化票”进行了修复。