У WordPress-плагіне , які налічвае больш за 700 тысяч актыўных установак, уразлівасць, якая дазваляе запускаць адвольныя каманды і PHP-скрыпты на серверы. Праблема выяўляецца ў выпусках File Manager з 6.0 па 6.8 і ўхілена ў выпуску 6.9.
Убудова File Manager падае прылады для кіравання файламі для адміністратара WordPress, выкарыстаючы для нізкаўзроўневых маніпуляцый з файламі ўваходная ў склад бібліятэку . У зыходным кодзе бібліятэкі elFinder прысутнічаюць файлы з прыкладамі кода, якія пастаўляюцца ў працоўным каталогу з пашырэннем ".dist". Уразлівасць выклікана тым, што пры пастаўцы бібліятэкі файл "connector.minimal.php.dist" быў перайменаваны ў "connector.minimal.php" і стаў даступны для выканання пры адпраўцы знешніх запытаў. Указаны скрыпт дазваляе выканаць любыя аперацыі з файламі (upload, open, editor, rename, rm і да т.п.), бо яго параметры перадаюцца ў функцыю run() асноўнага плагіна, што можа выкарыстоўвацца для замены PHP-файлаў у WordPress і запуску адвольнага кода.
Небяспека пагаршае тое, што слабасць ужо для здзяйснення аўтаматызаваных нападаў, падчас якіх у каталог "plugins/wp-file-manager/lib/files/" пры дапамозе каманды "upload" загружаецца малюнак, які змяшчае PHP-код, які затым пераназываецца ў PHP-скрыпт, імя якога выбіраецца выпадкова і ўтрымоўвае тэкст "hard" або "x.", напрыклад, hardfork.php, hardfind.php, x.php і да т.п.). Пасля запуску PHP-код дадае бэкдор у файлы /wp-admin/admin-ajax.php і /wp-includes/user.php, які прадстаўляе зламыснікам доступ у інтэрфейс адміністратара сайта. Эксплуатацыя ажыццяўляецца праз адпраўку POST-запыту да файла "wp-file-manager/lib/php/connector.minimal.php".
Характэрна, што пасля ўзлому акрамя пакідання бэкдора ўносяцца змены для абароны наступных зваротаў да файла connector.minimal.php, у якім утрымоўваецца ўразлівасць, з мэтай блакавання магчымасці нападу на сервер іншымі зламыснікамі.
Першыя спробы нападу былі выяўлены 1 верасня ў 7 раніцы (UTC). У
12:33 (UTC) распрацоўшчыкі плагіна File Manager выпусцілі патч. Па дадзеных якая выявіла ўразлівасць кампаніі Wordfence за дзень іх міжсеткавы экран заблакаваў каля 450 тысяч спроб эксплуатацыі ўразлівасці. Сканіраванне сеткі паказала, што 52% сайтаў, якія выкарыстоўваюць дадзеную ўбудову яшчэ не зрабілі абнаўленне і застаюцца ўразлівымі. Пасля ўсталёўкі абнаўлення мае сэнс праверыць у логу http-сервера звароту да скрыпту "connector.minimal.php" для вызначэння факту кампраметацыі сістэмы.
Дадаткова можна адзначыць які карэктуе выпуск у якім прапанавана .
Крыніца: opennet.ru