В WordPress-plugin , nga adunay kapin sa 700 ka aktibong instalasyon, Usa ka kahuyangan nga nagtugot sa arbitraryong mga sugo ug PHP script nga ipatuman sa server. Ang isyu makaapekto sa mga bersyon sa File Manager 6.0 hangtod 6.8 ug naayo na sa bersyon 6.9.
Ang plugin sa File Manager naghatag og mga himan sa pagdumala sa file para sa administrador. WordPress, gamit ang gilakip nga librarya para sa low-level nga manipulasyon sa file Ang source code sa elFinder library adunay mga ehemplo sa mga code file, nga gihatag sa working directory nga adunay extension nga ".dist". Ang kahuyangan gipahinabo sa kamatuoran nga atol sa pag-apod-apod sa librarya, ang file nga "connector.minimal.php.dist" giilisan og ngalan ngadto sa "connector.minimal.php" ug nahimong magamit alang sa pagpatuman kung magpadala og mga external request. Kini nga script nagtugot sa bisan unsang mga operasyon sa file (upload, open, editor, rename, rm, ug uban pa) nga mahimo, tungod kay ang mga parameter niini gipasa sa run() function sa main plugin, nga magamit aron ilisan ang mga PHP file sa WordPress ug pagpadagan sa arbitraryong code.
Ang peligro gipasamot sa kamatuoran nga ang kahuyang anaa na Aron makahimo og awtomatikong mga pag-atake, usa ka imahe nga adunay PHP code ang gi-upload sa direktoryo nga "plugins/wp-file-manager/lib/files/" gamit ang sugo nga "upload". Ang imahe dayon giilisan og ngalan ngadto sa usa ka PHP script nga adunay random nga gipili nga ngalan nga adunay teksto nga "hard" o "x." (pananglitan, hardfork.php, hardfind.php, x.php, ug uban pa). Kung mapatuman na, ang PHP code magdugang og backdoor sa mga file nga /wp-admin/admin-ajax.php ug /wp-includes/user.php, nga maghatag sa mga tig-atake og access sa admin interface sa site. Ang pagpahimulos mahimo pinaagi sa pagpadala og POST request sa file nga "wp-file-manager/lib/php/connector.minimal.php."
Angayan nga matikdan nga human sa hack, dugang sa pagbiya sa backdoor, gihimo ang mga pagbag-o aron mapanalipdan ang dugang nga pag-access sa connector.minimal.php file, nga adunay sulud nga kahuyangan, aron babagan ang posibilidad nga ang ubang mga tig-atake moatake sa server.
Ang unang mga pagsulay sa pag-atake nakita niadtong Septiyembre 1 sa alas 7 sa buntag (UTC).
Sa alas 12:33 sa udto (UTC), ang mga developer sa File Manager plugin nagpagawas ug patch. Sumala sa Wordfence, ang kompanya nga nakadiskubre sa kahuyangan, ang ilang firewall nakababag sa gibana-bana nga 450 ka pagsulay sa pagpahimulos sa kahuyangan sa usa ka adlaw. Ang network scanning nagbutyag nga 52% sa mga website nga naggamit sa plugin wala pa ma-update ug nagpabilin nga huyang. Human ma-install ang update, maayong ideya nga susihon ang HTTP server log para sa mga tawag sa "connector.minimal.php" script aron mahibal-an kung nakompromiso ba ang sistema.
Dugang pa, mahimong mamatikdan ang usa ka corrective release. diin kini gisugyot .
Source: opennet.ru
