WordPress-laajennuksessa yli 700 tuhatta aktiivista asennusta, haavoittuvuus, joka sallii mielivaltaisten komentojen ja PHP-komentosarjojen suorittamisen palvelimella. Ongelma ilmenee Tiedostonhallinnan julkaisuissa 6.0–6.8, ja se on ratkaistu versiossa 6.9.
Tiedostonhallintalaajennus tarjoaa tiedostonhallintatyökaluja WordPress-järjestelmänvalvojalle, joka käyttää mukana tulevaa kirjastoa matalan tason tiedostojen käsittelyyn . ElFinder-kirjaston lähdekoodi sisältää tiedostoja koodiesimerkkeineen, jotka toimitetaan työhakemistoon tunnisteella “.dist”. Haavoittuvuus johtuu siitä, että kirjaston lähetyksen yhteydessä tiedosto "connector.minimal.php.dist" nimettiin uudelleen muotoon connector.minimal.php ja se tuli suoritettavaksi ulkoisia pyyntöjä lähetettäessä. Määritetty komentosarja sallii sinun suorittaa mitä tahansa toimintoja tiedostoilla (lataa, avaa, muokkaa, nimeä uudelleen, rm jne.), koska sen parametrit välitetään päälaajennuksen run()-funktiolle, jota voidaan käyttää PHP-tiedostojen korvaamiseen. WordPressissä ja suorita mielivaltainen koodi.
Vaaraa pahentaa se, että haavoittuvuus on jo olemassa suorittaa automaattisia hyökkäyksiä, joiden aikana PHP-koodia sisältävä kuva ladataan "plugins/wp-file-manager/lib/files/"-hakemistoon "upload"-komennolla, joka sitten nimetään uudelleen PHP-skriptiksi, jonka nimi on valittu satunnaisesti ja sisältää tekstin "hard" tai "x.", esimerkiksi hardfork.php, hardfind.php, x.php jne.). Kun PHP-koodi on suoritettu, se lisää takaoven /wp-admin/admin-ajax.php- ja /wp-includes/user.php-tiedostoihin, jolloin hyökkääjät pääsevät sivuston järjestelmänvalvojan käyttöliittymään. Toiminto suoritetaan lähettämällä POST-pyyntö tiedostoon “wp-file-manager/lib/php/connector.minimal.php”.
On huomionarvoista, että hakkeroinnin jälkeen takaovesta poistumisen lisäksi tehdään muutoksia suojatakseen muita kutsuja haavoittuvuuden sisältävään connector.minimal.php-tiedostoon, jotta voidaan estää muiden hyökkääjien mahdollisuus hyökätä palvelimeen.
Ensimmäiset hyökkäysyritykset havaittiin 1. syyskuuta kello 7 (UTC). SISÄÄN
12:33 (UTC) File Manager -laajennuksen kehittäjät ovat julkaisseet korjaustiedoston. Haavoittuvuuden tunnistaneen Wordfence-yhtiön mukaan heidän palomuurinsa esti noin 450 52 yritystä hyödyntää haavoittuvuutta päivässä. Verkkoskannaus osoitti, että XNUMX % tätä laajennusta käyttävistä sivustoista ei ole vielä päivitetty ja ovat edelleen haavoittuvia. Päivityksen asennuksen jälkeen on järkevää tarkistaa http-palvelimen lokista "connector.minimal.php"-komentosarjan kutsujen varalta, onko järjestelmä vaarantunut.
Lisäksi voit huomioida korjaavan vapautuksen joka ehdotti .
Lähde: opennet.ru