XML-RPC接口启用且可访问漏洞报告

摘要

网站███启用了XML-RPC接口，暴露了多个方法包括pingback.ping和system.multicall。攻击者可滥用这些方法执行高容量拒绝服务（DDoS）攻击和暴力破解放大攻击，严重影响网站的可用性和安全性。

复现步骤

1. 向███████发送包含以下XML负载的POST请求：

1
2
3
4

<?xml version="1.0"?>
<methodCall>
  <methodName>system.listMethods</methodName>
</methodCall>

2. 观察响应，其中包含暴露的XML-RPC方法列表，如pingback.ping和system.multicall

3. 攻击者可利用这些方法发起基于pingback的DDoS攻击，或使用system.multicall进行暴力破解放大

支持材料参考

• 官方WordPress文档关于XML-RPC使用
• 关于XML-RPC pingback DDoS攻击和漏洞的公开建议
• 关于使用system.multicall进行暴力破解放大的常见安全报告
• CWE 611 XML外部实体（XXE）处理（相关风险）
• OWASP API安全前10大风险

影响

启用的XML-RPC接口允许未经身份验证的攻击者滥用这些方法，可能导致对网站或第三方的分布式拒绝服务攻击，以及暴力破解登录尝试的放大。这威胁到网站的可用性，并可能暴露敏感信息。

评论交流

emad2466 发表评论 - 2025年10月10日 UTC下午6:08

团队您好，

如附加的PoC.txt文件所示，XML-RPC端点完全暴露，允许任何未经身份验证的用户执行关键操作，如删除帖子、编辑内容和其他管理操作，无需任何形式的身份验证或授权。

鉴于该服务管理您平台上的域名相关内容，此漏洞对您服务和用户数据的完整性和可用性构成严重风险。

我强烈建议立即采取缓解措施，包括：

• 禁用或限制XML-RPC访问
• 实施强身份验证机制（例如OAuth、API密钥）
• 应用IP白名单或其他访问控制

如需更多详细信息或进一步的概念证明，请告知。

诚挚问候， █████

emad2466 发表评论 - 2025年10月10日 UTC下午6:08

作为额外的安全概念证明，我通过XML-RPC使用了system.getCapabilities方法，无需任何身份验证。

此方法不需要参数，被认为是确认XML-RPC已启用并积极处理方法调用的安全方式。

以下是我使用的cURL请求：

1
2
3
4
5
6

curl -X POST ███ \
-H "Content-Type: text/xml" \
-d '<?xml version="1.0"?>
<methodCall>
<methodName>system.getCapabilities</methodName>
</methodCall>'

服务器响应了有效的XML-RPC能力，确认：

• XML-RPC接口已启用
• 接口未经身份验证
• 可以远程枚举或与API交互

这进一步增加了暴露端点的影响，特别是在域名注册商平台上。

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23

<?xml version="1.0" encoding="UTF-8"?>
<methodResponse>
  <params>
    <param>
      <value>
      <struct>
  <member><name>xmlrpc</name><value><struct>
  <member><name>specUrl</name><value><string>████████</string></value></member>
  <member><name>specVersion</name><value><int>1</int></value></member>
</struct></value></member>
  <member><name>faults_interop</name><value><struct>
  <member><name>specUrl</name><value><string>█████</string></value></member>
  <member><name>specVersion</name><value><int>20010516</int></value></member>
</struct></value></member>
  <member><name>system.multicall</name><value><struct>
  <member><name>specUrl</name><value><string>███</string></value></member>
  <member><name>specVersion</name><value><int>1</int></value></member>
</struct></value></member>
</struct>
      </value>
    </param>
  </params>
</methodResponse>

h1_analyst_dante HackerOne分类 关闭报告并将状态更改为信息性 - 2025年10月10日 UTC下午6:08

嗨████████，

虽然公开可访问的WordPress XML-RPC接口可能看起来是一个安全漏洞，但它并未对平台构成具体且可利用的风险。该端点应该像许多其他公共端点一样连接到外部资源。您可以组合这些来发起（相当低效的）DoS攻击的事实不是Tucows（VDP）可以解决的问题，也不会被跟踪为安全漏洞。

如果您能够滥用此功能以获取敏感数据或影响系统完整性，请回复一些详细的复现步骤，我们将很乐意重新考虑您的报告。

诚挚问候， █████████

emad2466 请求披露此报告 - 2025年10月10日 UTC下午6:08

嗨██████████，

感谢您关于XML-RPC接口的快速回复和澄清。我理解您对DoS潜力和漏洞范围的担忧。

如果我发现任何利用此功能进行未经授权访问或影响系统完整性的方法，我将提供详细的复现步骤供您审查。

再次感谢您的时间和支特。

诚挚问候， ███████

msahai01-tc Tucows (VDP)工作人员 将范围从None更改为*.tucowsdomains.com - 2025年10月2日 UTC上午4:50

msahai01-tc Tucows (VDP)工作人员 将范围从*.tucowsdomains.com更改为None - 2025年10月4日 UTC上午2:20

emad2466 发表评论 - 2025年10月4日 UTC上午6:02

嘿，有人能关闭这个报告吗

passi-tc Tucows (VDP)工作人员 发表评论 - 15天前

谢谢，我们已经编辑并披露了报告。

Tucows安全团队

passi-tc Tucows (VDP)工作人员 同意披露此报告 - 15天前

此报告已披露 - 15天前

报告详情

• 报告时间：2025年7月16日 UTC下午2:08
• 报告人：emad2466
• 报告对象：Tucows (VDP)
• 报告ID：#3255910
• 状态：信息性
• 严重性：无评级（—）
• 披露时间：2025年10月10日 UTC下午6:24
• 弱点：信息泄露
• CVE ID：无
• 赏金：隐藏
• 账户详情：无