In un plugin WordPress cù più di 700 mila installazioni attive, una vulnerabilità chì permette cumandamenti arbitrarii è script PHP per esse eseguitu in u servitore. U prublema appare in File Manager versioni 6.0 à 6.8 è hè risolta in versione 6.9.
U plugin File Manager furnisce strumenti di gestione di file per l'amministratore di WordPress, utilizendu a libreria inclusa per a manipulazione di fugliale di livellu bassu . U codice fonte di a libreria elFinder cuntene schedari cù esempi di codice, chì sò furniti in u cartulare di travagliu cù l'estensione ".dist". A vulnerabilità hè causata da u fattu chì quandu a libreria hè stata spedita, u schedariu "connector.minimal.php.dist" hè statu rinominatu "connector.minimal.php" è hè diventatu dispunibule per l'esekzione quandu invià e dumande esterne. U script specificatu permette di fà qualsiasi operazioni cù i schedari (upload, open, editor, rename, rm, etc.), postu chì i so paràmetri sò passati à a funzione run() di u plugin principale, chì pò esse usatu per rimpiazzà i schedari PHP. in WordPress è eseguite codice arbitrariu.
Ciò chì face u periculu peghju hè chì a vulnerabilità hè digià per realizà attacchi automatizati, durante i quali una maghjina chì cuntene u codice PHP hè caricata in u cartulare "plugins/wp-file-manager/lib/files/" cù u cumandamentu "upload", chì hè poi rinominatu in un script PHP chì u nome hè sceltu aleatoriu è cuntene u testu "duru" o "x.", per esempiu, hardfork.php, hardfind.php, x.php, etc.). Una volta eseguitu, u codice PHP aghjunghje una backdoor à i schedari /wp-admin/admin-ajax.php è /wp-includes/user.php, dendu à l'attaccanti accessu à l'interfaccia di l'amministratore di u situ. L'operazione hè realizata mandendu una dumanda POST à u schedariu "wp-file-manager/lib/php/connector.minimal.php".
Hè nutate chì dopu à u pirate, in più di abbandunà u backdoor, i cambiamenti sò fatti per prutege più chjamate à u schedariu connector.minimal.php, chì cuntene a vulnerabilità, per bluccà a pussibilità di altri attaccanti chì attaccanu u servitore.
I primi tentativi di attaccu sò stati rilevati u 1 di settembre à 7 ore (UTC). IN
12:33 (UTC) i sviluppatori di u plugin File Manager anu liberatu un patch. Sicondu a cumpagnia Wordfence chì identificò a vulnerabilità, u so firewall hà bluccatu circa 450 mila tentativi di sfruttà a vulnerabilità per ghjornu. Una scansione di a rete hà dimustratu chì u 52% di i siti chì utilizanu stu plugin ùn anu micca aghjurnatu è restanu vulnerabili. Dopu a stallazione di l'aghjurnamentu, hè sensu di verificà u logu di u servitore http per e chjama à u script "connector.minimal.php" per stabilisce se u sistema hè statu cumprumissu.
Inoltre, pudete nutà a liberazione currettiva chì prupostu .
Source: opennet.ru