En WordPress kromaĵo kun pli ol 700 mil aktivaj instalaĵoj, vundebleco kiu permesas arbitrajn komandojn kaj PHP-skriptojn esti efektivigitaj sur la servilo. La problemo aperas en Dosiermanaĝero eldonoj 6.0 ĝis 6.8 kaj estas solvita en eldono 6.9.
La kromaĵo Dosiera Administranto provizas ilojn pri dosieradministrado por la administranto de WordPress, uzante la inkluzivitan bibliotekon por malaltnivela dosiermanipulado . La fontkodo de la biblioteko elFinder enhavas dosierojn kun kodaj ekzemploj, kiuj estas provizitaj en la labordosierujo kun la etendaĵo “.dist”. La vundebleco estas kaŭzita de la fakto, ke kiam la biblioteko estis ekspedita, la dosiero "connector.minimal.php.dist" estis renomita al "connector.minimal.php" kaj fariĝis disponebla por ekzekuto dum sendado de eksteraj petoj. La specifita skripto permesas fari ajnajn operaciojn kun dosieroj (alŝuti, malfermi, redakti, renomi, rm, ktp.), ĉar ĝiaj parametroj estas transdonitaj al la funkcio run() de la ĉefa kromprogramo, kiu povas esti uzata por anstataŭigi PHP-dosierojn. en WordPress kaj rulu arbitran kodon.
Kio plimalbonigas la danĝeron estas, ke vundebleco jam estas fari aŭtomatigitajn atakojn, dum kiuj bildo enhavanta PHP-kodon estas alŝutita al la dosierujo "plugins/wp-file-manager/lib/files/" uzante la komandon "upload", kiu tiam estas renomita al PHP-skripto kies nomo estas elektita hazarde kaj enhavas la tekston "malmola" aŭ "x.", ekzemple hardfork.php, hardfind.php, x.php, ktp.). Unufoje efektivigita, la PHP-kodo aldonas malantaŭan pordon al la dosieroj /wp-admin/admin-ajax.php kaj /wp-includes/user.php, donante al atakantoj aliron al la interfaco de administranto de la retejo. Operacio estas farita sendante POST-peton al la dosiero "wp-file-manager/lib/php/connector.minimal.php".
Estas rimarkinde, ke post la hako, krom lasi la malantaŭan pordon, ŝanĝoj estas faritaj por protekti pliajn alvokojn al la dosiero connector.minimal.php, kiu enhavas la vundeblecon, por bloki la eblecon ataki la servilon de aliaj atakantoj.
La unuaj atakprovoj estis detektitaj la 1-an de septembro je la 7-a (UTC). EN
12:33 (UTC) la programistoj de la kromprogramo Dosiera Administranto publikigis flikilon. Laŭ la kompanio Wordfence, kiu identigis la vundeblecon, ilia fajroŝirmilo blokis ĉirkaŭ 450 mil provojn ekspluati la vundeblecon ĉiutage. Reta skanado montris, ke 52% de retejoj uzantaj ĉi tiun kromprogramon ankoraŭ ne ĝisdatiĝis kaj restas vundeblaj. Post instalo de la ĝisdatigo, estas senco kontroli la http-servilan protokolon por vokoj al la skripto "connector.minimal.php" por determini ĉu la sistemo estas kompromitita.
Aldone, vi povas noti la korektan liberigon kiu proponis .
fonto: opennet.ru