В WordPress-inprop met meer as 700 duisend aktiewe installasies, 'n kwesbaarheid wat toelaat dat arbitrêre opdragte en PHP-skrifte op die bediener uitgevoer word. Die probleem verskyn in Lêerbestuurder-vrystellings 6.0 tot 6.8 en word in vrystelling 6.9 opgelos.
Die Lêerbestuurder-inprop bied lêerbestuurhulpmiddels vir die administrateur. WordPress, met behulp van die ingeslote biblioteek vir lae-vlak lêermanipulasie Die elFinder-biblioteek se bronkode bevat voorbeeldkodelêers wat in die werkgids met die ".dist"-uitbreiding verskaf word. Die kwesbaarheid word veroorsaak deur die feit dat die "connector.minimal.php.dist"-lêer tydens die biblioteekverspreiding hernoem is na "connector.minimal.php" en beskikbaar geword het vir uitvoering wanneer eksterne versoeke gestuur word. Hierdie skrip laat toe dat enige lêerbewerkings (oplaai, oopmaak, redigering, hernoem, rm, ens.) uitgevoer word, aangesien die parameters daarvan deurgegee word aan die run()-funksie van die hoofinprop, wat gebruik kan word om PHP-lêers te vervang in WordPress en arbitrêre kode uitvoer.
Wat die gevaar erger maak, is dat kwesbaarheid reeds is om geoutomatiseerde aanvalle uit te voer, waartydens 'n prent wat PHP-kode bevat opgelaai word na die "plugins/wp-file-manager/lib/files/" gids deur die "upload" opdrag te gebruik, wat dan hernoem word na 'n PHP script wie se naam is lukraak gekies en bevat die teks “hard” of “x.”, byvoorbeeld hardfork.php, hardfind.php, x.php, ens.). Sodra dit uitgevoer is, voeg die PHP-kode 'n agterdeur by die /wp-admin/admin-ajax.php- en /wp-includes/user.php-lêers, wat aanvallers toegang gee tot die werfadministrateur-koppelvlak. Operasie word uitgevoer deur 'n POST-versoek te stuur na die lêer "wp-file-manager/lib/php/connector.minimal.php".
Dit is opmerklik dat na die hack, benewens om die agterdeur te verlaat, veranderinge aangebring word om verdere oproepe na die connector.minimal.php-lêer, wat die kwesbaarheid bevat, te beskerm om die moontlikheid te blokkeer dat ander aanvallers die bediener aanval.
Die eerste aanvalspogings is op 1 September om 7:XNUMX (UTC) opgespoor. IN
12:33 (UTC) die ontwikkelaars van die File Manager-inprop het 'n pleister vrygestel. Volgens die Wordfence-maatskappy wat die kwesbaarheid geïdentifiseer het, het hul firewall ongeveer 450 duisend pogings om die kwesbaarheid per dag uit te buit geblokkeer. 'n Netwerkskandering het getoon dat 52% van werwe wat hierdie inprop gebruik, nog nie opgedateer is nie en kwesbaar bly. Nadat die opdatering geïnstalleer is, maak dit sin om die http-bedienerlogboek na te gaan vir oproepe na die “connector.minimal.php”-skrip om te bepaal of die stelsel gekompromitteer is.
Daarbenewens kan u let op die regstellende vrystelling wat voorgestel het .
Bron: opennet.ru
