In 'n WordPress-inprop met meer as 700 duisend aktiewe installasies, 'n kwesbaarheid wat toelaat dat arbitrêre opdragte en PHP-skrifte op die bediener uitgevoer word. Die probleem verskyn in Lêerbestuurder-vrystellings 6.0 tot 6.8 en word in vrystelling 6.9 opgelos.
Die File Manager-inprop bied lêerbestuurnutsmiddels vir die WordPress-administrateur deur die ingeslote biblioteek te gebruik vir laevlak lêermanipulasie . Die bronkode van die elFinder-biblioteek bevat lêers met kodevoorbeelde, wat in die werkgids verskaf word met die uitbreiding “.dist”. Die kwesbaarheid word veroorsaak deur die feit dat toe die biblioteek gestuur is, die lêer "connector.minimal.php.dist" hernoem is na "connector.minimal.php" en beskikbaar geword het vir uitvoering wanneer eksterne versoeke gestuur word. Die gespesifiseerde skrif laat jou toe om enige bewerkings met lêers uit te voer (oplaai, oopmaak, redigeerder, hernoem, rm, ens.), aangesien die parameters daarvan oorgedra word na die run()-funksie van die hoofinprop, wat gebruik kan word om PHP-lêers te vervang in WordPress en hardloop arbitrêre kode.
Wat die gevaar erger maak, is dat kwesbaarheid reeds is om geoutomatiseerde aanvalle uit te voer, waartydens 'n prent wat PHP-kode bevat opgelaai word na die "plugins/wp-file-manager/lib/files/" gids deur die "upload" opdrag te gebruik, wat dan hernoem word na 'n PHP script wie se naam is lukraak gekies en bevat die teks “hard” of “x.”, byvoorbeeld hardfork.php, hardfind.php, x.php, ens.). Sodra dit uitgevoer is, voeg die PHP-kode 'n agterdeur by die /wp-admin/admin-ajax.php- en /wp-includes/user.php-lêers, wat aanvallers toegang gee tot die werfadministrateur-koppelvlak. Operasie word uitgevoer deur 'n POST-versoek te stuur na die lêer "wp-file-manager/lib/php/connector.minimal.php".
Dit is opmerklik dat na die hack, benewens om die agterdeur te verlaat, veranderinge aangebring word om verdere oproepe na die connector.minimal.php-lêer, wat die kwesbaarheid bevat, te beskerm om die moontlikheid te blokkeer dat ander aanvallers die bediener aanval.
Die eerste aanvalspogings is op 1 September om 7:XNUMX (UTC) opgespoor. IN
12:33 (UTC) die ontwikkelaars van die File Manager-inprop het 'n pleister vrygestel. Volgens die Wordfence-maatskappy wat die kwesbaarheid geïdentifiseer het, het hul firewall ongeveer 450 duisend pogings om die kwesbaarheid per dag uit te buit geblokkeer. 'n Netwerkskandering het getoon dat 52% van werwe wat hierdie inprop gebruik, nog nie opgedateer is nie en kwesbaar bly. Nadat die opdatering geïnstalleer is, maak dit sin om die http-bedienerlogboek na te gaan vir oproepe na die “connector.minimal.php”-skrip om te bepaal of die stelsel gekompromitteer is.
Daarbenewens kan u let op die regstellende vrystelling wat voorgestel het .
Bron: opennet.ru