Pluck CMSの脆弱性CVE-2023-25828の詳細

図1：Pluck CMSでの画像のアップロード

この機能のソースコードを参照しても、明らかな脆弱性は見当たりませんが、MIMEタイプとファイル拡張子を許可リストと照合してチェックします。

興味深いことに、このプロセスのどこにも、アプリケーションが許可リストを使用してファイル拡張子を制限する処理はありません。これは、アップロードされたファイルの内容を基盤となるWebサーバーで解釈して実行できるようにするファイル拡張子（.phpや.pharなど）を制限なく使用できるということなので、直ちに警告が発せられます。

ファイル拡張子と有効なMIMEタイプを使用してこの動作を悪用するさまざまな方法があります。Webシェルは、ファイルの内容を完全に置き換えたり、ファイルの内容に追加したり、画像のメタデータに含めたりすることができますが、この例の場合には、関数の後半にロジックがあるため、これらのいずれの手法も適用できません。

スニペット3：data/modules/albums.admin.php

前に計算された$fullimageパスを使用してSmartImageオブジェクトをインスタンス化します。サイズ変更も問題のように思えるかもしれませんが、高さと幅が同じ画像を指定することで回避できます。それでは、SmartImageコンストラクタの内容を見てみましょう。

スニペット4：data/inc/lib/SmartImage.class.php

__construct関数は、PHP-GDの組み込みのgetimagesize関数を使用して、関数によって割り当てられた定数から処理される画像の種類を識別します。この関数に$this->info[2]を介してアクセスし、別のPHP-GD組み込み関数imagecreatefrom*を使用して、定数の値に応じて画像を処理します。これらの関数は、ファイルに追加されたWebシェルや画像メタデータに挿入されたWebシェルなど、単純な方法で埋め込まれたWebシェルを破棄する正規化を実行します。

この時点で、CyRCのリサーチャーは、これらのimagecreatefrom*関数の動作を調査しました。まずimagecreatefromjpegに着目し、正規化後にも存続できる方法でWebシェルを埋め込むことが可能であることを示す先行研究を発見しました。Jellypegツールを使用すると、圧縮プロセス後に小さなコードが残っている場所を見つけることができます。imagecreatefromjpeg関数とimagejpeg関数によって処理された後もファイルのコンテンツ内にWebシェルが残っているオフセットをブルートフォース検索するという仕組みです。

このツールをデフォルト構成で実行すると、ペイロード<?=exec($_GET[“c”])?>が埋め込まれた有効な画像が見つかります。

図2: 埋め込まれたペイロード

このファイルにより、SmartImageコンストラクタのimagecreatefromjpegによって正規化が実行された後もWebシェルが存続できるようになります。有効なMIMEタイプと.phpファイル拡張子を使用してアップロードした場合、Webパス/pluck/data/settings/modules/albums/<album_name>/<file_name>でファイルに直接移動し、HTTPパラメータ‘c’でコマンドを渡すことによってRCE（リモート・コード実行）を実現できます。これにより、認証された攻撃者がアプリケーションの基盤となるWebサーバー上で任意のコマンドを実行できるようになるため、重大な脆弱性となります。

スニペット5：data/modules/albums/albums.admin.php

ただし、このパッチにはエラーがあります。ハイライト表示された文字がぶら下がっているため、ファイルに構文エラーが発生します。このファイルがアプリケーション内の他のページに含まれている場合、エラーが発生し、albumsモジュールが完全に無効になります。この構文エラーを修正する別のパッチがバージョン4.7.17、コミットa52de9cでリリースされました。このパッチで脆弱性が緩和されます。