В WordPress-cunnettà si cù più di 700 mila installazioni attive, una vulnerabilità chì permette cumandamenti arbitrarii è script PHP per esse eseguitu in u servitore. U prublema appare in File Manager versioni 6.0 à 6.8 è hè risolta in versione 6.9.
U plugin File Manager furnisce strumenti di gestione di fugliali per l'amministratore. WordPress, aduprendu a biblioteca inclusa per a manipulazione di fugliali di bassu livellu U codice surghjente di a biblioteca elFinder cuntene esempi di fugliali di codice, chì sò furniti in u cartulare di travagliu cù l'estensione ".dist". A vulnerabilità hè causata da u fattu chì durante a distribuzione di a biblioteca, u fugliale "connector.minimal.php.dist" hè statu rinominatu in "connector.minimal.php" è hè diventatu dispunibule per l'esecuzione quandu si mandanu richieste esterne. Stu script permette di fà qualsiasi operazione di fugliale (caricamentu, apertura, editore, rinomina, rm, ecc.), postu chì i so parametri sò passati à a funzione run() di u plugin principale, chì pò esse adupratu per rimpiazzà i fugliali PHP in WordPress è eseguendu codice arbitrariu.
Ciò chì face u periculu peghju hè chì a vulnerabilità hè digià per realizà attacchi automatizati, durante i quali una maghjina chì cuntene u codice PHP hè caricata in u cartulare "plugins/wp-file-manager/lib/files/" cù u cumandamentu "upload", chì hè poi rinominatu in un script PHP chì u nome hè sceltu aleatoriu è cuntene u testu "duru" o "x.", per esempiu, hardfork.php, hardfind.php, x.php, etc.). Una volta eseguitu, u codice PHP aghjunghje una backdoor à i schedari /wp-admin/admin-ajax.php è /wp-includes/user.php, dendu à l'attaccanti accessu à l'interfaccia di l'amministratore di u situ. L'operazione hè realizata mandendu una dumanda POST à u schedariu "wp-file-manager/lib/php/connector.minimal.php".
Hè nutate chì dopu à u pirate, in più di abbandunà u backdoor, i cambiamenti sò fatti per prutege più chjamate à u schedariu connector.minimal.php, chì cuntene a vulnerabilità, per bluccà a pussibilità di altri attaccanti chì attaccanu u servitore.
I primi tentativi di attaccu sò stati rilevati u 1 di settembre à 7 ore (UTC). IN
12:33 (UTC) i sviluppatori di u plugin File Manager anu liberatu un patch. Sicondu a cumpagnia Wordfence chì identificò a vulnerabilità, u so firewall hà bluccatu circa 450 mila tentativi di sfruttà a vulnerabilità per ghjornu. Una scansione di a rete hà dimustratu chì u 52% di i siti chì utilizanu stu plugin ùn anu micca aghjurnatu è restanu vulnerabili. Dopu a stallazione di l'aghjurnamentu, hè sensu di verificà u logu di u servitore http per e chjama à u script "connector.minimal.php" per stabilisce se u sistema hè statu cumprumissu.
Inoltre, pudete nutà a liberazione currettiva chì prupostu .
Source: opennet.ru
