XML-RPC接口安全漏洞报告

漏洞概述

网站███启用了XML-RPC接口，该接口暴露了多个方法，包括pingback.ping和system.multicall。攻击者可滥用这些方法执行大规模拒绝服务（DDoS）攻击和暴力破解放大攻击，严重威胁网站的可用性和安全性。

复现步骤

1. 向███████发送POST请求，包含以下XML载荷：

1
2
3
4

<?xml version="1.0"?>
<methodCall>
  <methodName>system.listMethods</methodName>
</methodCall>

2. 观察响应，其中包含暴露的XML-RPC方法列表，如pingback.ping和system.multicall

3. 攻击者可利用这些方法发起基于pingback的DDoS攻击，或使用system.multicall进行暴力破解放大

支持材料参考

• 官方WordPress文档关于XML-RPC使用的说明
• 关于XML-RPC pingback DDoS攻击和漏洞的公开建议
• 使用system.multicall进行暴力破解放大的常见安全报告
• CWE 611 XML外部实体（XXE）处理（相关风险）
• OWASP API安全十大风险

影响分析

启用的XML-RPC接口允许未经认证的攻击者滥用这些方法，可能导致针对网站或第三方的分布式拒绝服务攻击，以及暴力破解登录尝试的放大。这威胁到网站的可用性，并可能暴露敏感信息。

技术细节

作为额外的安全概念验证，研究人员通过XML-RPC使用system.getCapabilities方法，无需任何认证。该方法不需要参数，被认为是确认XML-RPC已启用并积极处理方法调用的安全方式。

使用的cURL请求：

1
2
3
4
5
6

curl -X POST ███ \
-H "Content-Type: text/xml" \
-d '<?xml version="1.0"?>
<methodCall>
<methodName>system.getCapabilities</methodName>
</methodCall>'

服务器响应了有效的XML-RPC能力，确认：

• XML-RPC接口已启用
• 接口未经认证
• 可以远程枚举或与API交互

缓解建议

• 禁用或限制XML-RPC访问
• 实施强认证机制（如OAuth、API密钥）
• 应用IP白名单或其他访问控制

平台响应

HackerOne分析团队将报告状态更改为"信息性"并关闭，认为公开可访问的WordPress XML-RPC接口不构成具体且可利用的平台风险。该端点旨在连接到外部资源，与其他公共端点类似。结合这些端点发起（效率较低的）DoS攻击的可能性无法由Tucows（VDP）解决，不会作为安全漏洞进行跟踪。

报告最终于2025年10月10日披露。