Yn in WordPress-plugin mei mear dan 700 tûzen aktive ynstallaasjes, in kwetsberens wêrmei willekeurige kommando's en PHP-skripts kinne wurde útfierd op 'e tsjinner. It probleem ferskynt yn File Manager releases 6.0 oant 6.8 en wurdt oplost yn release 6.9.
De File Manager-plugin biedt ark foar bestânbehear foar de WordPress-behearder, mei help fan de ynbegrepen bibleteek foar bestânmanipulaasje op leech nivo . De boarnekoade fan 'e elFinder-bibleteek befettet triemmen mei koadefoarbylden, dy't yn 'e wurkmap levere wurde mei de tafoeging ".dist". De kwetsberens wurdt feroarsake troch it feit dat doe't de bibleteek waard ferstjoerd, de triem "connector.minimal.php.dist" waard omneamd ta "connector.minimal.php" en waard beskikber foar útfiering by it ferstjoeren fan eksterne oanfragen. It opjûne skript lit jo alle operaasjes útfiere mei bestannen (upload, iepenje, bewurker, omneame, rm, ensfh.), Om't syn parameters wurde trochjûn oan de run()-funksje fan 'e haadplugin, dy't brûkt wurde om PHP-bestannen te ferfangen yn WordPress en rinne willekeurige koade.
Wat it gefaar slimmer makket, is dat kwetsberens al is om automatyske oanfallen út te fieren, wêrby't in ôfbylding mei PHP-koade wurdt upload nei de map "plugins/wp-file-manager/lib/files/" mei it kommando "upload", dat dan omneamd wurdt yn in PHP-skript waans namme is willekeurich keazen en befettet de tekst "hurd" of "x", bygelyks hardfork.php, hardfind.php, x.php, ensfh.). Ien kear útfierd, foeget de PHP-koade in efterdoar ta oan de /wp-admin/admin-ajax.php en /wp-includes/user.php-bestannen, wêrtroch oanfallers tagong krije ta de side-administrator-ynterface. Operaasje wurdt útfierd troch it stjoeren fan in POST-fersyk nei it bestân "wp-file-manager/lib/php/connector.minimal.php".
It is opmerklik dat nei de hack, neist it ferlitten fan 'e efterdoar, wizigingen makke wurde om fierdere oproppen te beskermjen nei de connector.minimal.php-bestân, dy't de kwetsberens befettet, om de mooglikheid te blokkearjen dat oare oanfallers de tsjinner oanfalle.
De earste oanfalpogingen waarden ûntdutsen op 1 septimber om 7 oere (UTC). YN
12:33 (UTC) de ûntwikkelders fan de File Manager plugin hawwe in patch útbrocht. Neffens it Wordfence-bedriuw dat de kwetsberens identifisearre, blokkearre har firewall sawat 450 tûzen besykjen om de kwetsberens per dei te eksploitearjen. In netwurkscan liet sjen dat 52% fan siden dy't dizze plugin brûke noch net bywurke binne en kwetsber bliuwe. Nei it ynstallearjen fan de fernijing is it logysk om it http-tsjinnerlog te kontrolearjen foar oproppen nei it skript "connector.minimal.php" om te bepalen oft it systeem kompromittearre is.
Derneist kinne jo de korrektive release notearje dy't foarstelde .
Boarne: opennet.ru