Sa usa ka plugin sa WordPress nga adunay labaw pa sa 700 ka libo nga aktibo nga pag-install, usa ka kahuyang nga nagtugot sa arbitraryong mga sugo ug mga script sa PHP nga ipatuman sa server. Ang isyu makita sa File Manager nga nagpagawas sa 6.0 hangtod sa 6.8 ug nasulbad sa pagpagawas sa 6.9.
Ang File Manager plugin naghatag og mga himan sa pagdumala sa file alang sa tagdumala sa WordPress, gamit ang gilakip nga librarya alang sa ubos nga lebel sa pagmaniobra sa file . Ang source code sa elFinder library naglangkob sa mga file nga adunay mga pananglitan sa code, nga gihatag sa working directory nga adunay extension nga ".dist". Ang pagkahuyang tungod sa kamatuoran nga sa dihang ang librarya gipadala, ang file nga "connector.minimal.php.dist" giilisan og ngalan ngadto sa "connector.minimal.php" ug nahimong magamit alang sa pagpatuman sa dihang nagpadala sa gawas nga mga hangyo. Ang espesipikong script nagtugot kanimo sa paghimo sa bisan unsang mga operasyon nga adunay mga file (pag-upload, pag-abli, editor, pagbag-o sa ngalan, rm, ug uban pa), tungod kay ang mga parameter niini gipasa sa run() nga function sa main plugin, nga magamit sa pag-ilis sa mga file sa PHP sa WordPress ug magpadagan sa arbitraryong code.
Ang nakapasamot sa kakuyaw kay ang pagkahuyang na sa paghimo sa mga automated nga pag-atake, diin ang usa ka imahen nga adunay PHP code gi-upload sa "plugins/wp-file-manager/lib/files/" nga direktoryo gamit ang "upload" nga sugo, nga unya giilisan og ngalan ngadto sa PHP script kansang ngalan mao ang gipili nga random ug adunay sulod nga teksto nga "lisud" o "x.", pananglitan, hardfork.php, hardfind.php, x.php, ug uban pa). Sa higayon nga mapatuman, ang PHP code modugang ug backdoor sa /wp-admin/admin-ajax.php ug /wp-includes/user.php nga mga file, nga maghatag sa mga tig-atake og access sa site administrator interface. Ang operasyon gihimo pinaagi sa pagpadala sa usa ka POST nga hangyo sa file nga "wp-file-manager/lib/php/connector.minimal.php".
Mamatikdan nga pagkahuman sa pag-hack, dugang sa pagbiya sa backdoor, gihimo ang mga pagbag-o aron mapanalipdan ang dugang nga mga tawag sa connector.minimal.php file, nga adunay sulud nga pagkahuyang, aron mapugngan ang posibilidad sa ubang mga tig-atake nga moatake sa server.
Ang unang pagsulay sa pag-atake namatikdan niadtong Septiyembre 1 sa alas 7 sa buntag (UTC). SA
12:33 (UTC) ang mga developers sa File Manager plugin nagpagawas ug patch. Sumala sa kompanya sa Wordfence nga nag-ila sa pagkahuyang, ang ilang firewall nag-block sa mga 450 ka libo nga pagsulay sa pagpahimulos sa pagkahuyang kada adlaw. Gipakita sa usa ka pag-scan sa network nga 52% sa mga site nga naggamit niini nga plugin wala pa ma-update ug nagpabilin nga huyang. Human ma-install ang update, makatarunganon nga susihon ang http server log alang sa mga tawag sa "connector.minimal.php" script aron mahibal-an kung ang sistema nakompromiso.
Dugang pa, mahimo nimong matikdan ang corrective release nga nagsugyot .
Source: opennet.ru