In einem WordPress-Plugin mit mehr als 700 aktiven Installationen, eine Schwachstelle, die die Ausführung beliebiger Befehle und PHP-Skripte auf dem Server ermöglicht. Das Problem tritt in den Dateimanager-Versionen 6.0 bis 6.8 auf und wurde in Version 6.9 behoben.
Das Dateimanager-Plugin bietet Dateiverwaltungstools für den WordPress-Administrator und nutzt die mitgelieferte Bibliothek für die Dateibearbeitung auf niedriger Ebene . Der Quellcode der elFinder-Bibliothek enthält Dateien mit Codebeispielen, die im Arbeitsverzeichnis mit der Erweiterung „.dist“ ausgeliefert werden. Die Schwachstelle entsteht dadurch, dass bei der Auslieferung der Bibliothek die Datei „connector.minimal.php.dist“ in „connector.minimal.php“ umbenannt wurde und beim Senden externer Anfragen zur Ausführung verfügbar wurde. Mit dem angegebenen Skript können Sie beliebige Vorgänge mit Dateien ausführen (Hochladen, Öffnen, Bearbeiten, Umbenennen, RM usw.), da seine Parameter an die run()-Funktion des Haupt-Plugins übergeben werden, die zum Ersetzen von PHP-Dateien verwendet werden kann in WordPress und führen Sie beliebigen Code aus.
Was die Gefahr noch schlimmer macht, ist, dass bereits Verwundbarkeit besteht zur Durchführung automatisierter Angriffe, bei denen mit dem Befehl „upload“ ein Bild mit PHP-Code in das Verzeichnis „plugins/wp-file-manager/lib/files/“ hochgeladen und dann in ein PHP-Skript umbenannt wird, dessen Name lautet wird zufällig ausgewählt und enthält den Text „hard“ oder „x“, zum Beispiel hardfork.php, hardfind.php, x.php usw.). Nach der Ausführung fügt der PHP-Code eine Hintertür zu den Dateien /wp-admin/admin-ajax.php und /wp-includes/user.php hinzu und ermöglicht Angreifern Zugriff auf die Site-Administratoroberfläche. Der Vorgang erfolgt durch Senden einer POST-Anfrage an die Datei „wp-file-manager/lib/php/connector.minimal.php“.
Bemerkenswert ist, dass nach dem Hack zusätzlich zum Verlassen der Hintertür Änderungen vorgenommen werden, um weitere Aufrufe der Datei „connector.minimal.php“ zu schützen, die die Schwachstelle enthält, um die Möglichkeit eines Angriffs anderer Angreifer auf den Server zu blockieren.
Die ersten Angriffsversuche wurden am 1. September um 7 Uhr (UTC) entdeckt. IN
12:33 (UTC) Die Entwickler des Dateimanager-Plugins haben einen Patch veröffentlicht. Nach Angaben des Unternehmens Wordfence, das die Schwachstelle identifiziert hat, blockierte seine Firewall täglich etwa 450 Versuche, die Schwachstelle auszunutzen. Ein Netzwerkscan ergab, dass 52 % der Websites, die dieses Plugin verwenden, noch nicht aktualisiert wurden und weiterhin anfällig sind. Nach der Installation des Updates ist es sinnvoll, das HTTP-Serverprotokoll auf Aufrufe des Skripts „connector.minimal.php“ zu überprüfen, um festzustellen, ob das System kompromittiert wurde.
Zusätzlich können Sie die Korrekturfreigabe vermerken was vorgeschlagen .
Source: opennet.ru