Đ WordPress-Dèan ceangal le còrr air 700 mĂŹle ionad gnĂŹomhach, so-leòntachd a leigeas le òrdughan neo-riaghailteach agus sgriobtaichean PHP a chuir gu bĂ s air an fhrithealaiche. Tha aâ chĂšis aâ nochdadh ann am fiosan Manaidsear File 6.0 tro 6.8 agus tha e air fhuasgladh ann an sgaoileadh 6.9.
Tha am plugan File Manager aâ toirt seachad innealan riaghlaidh fhaidhlichean don rianaire. WordPress, aâ cleachdadh an leabharlainn a tha air a ghabhail a-steach airson lĂ imhseachadh faidhlichean aig ĂŹre ĂŹosal Tha faidhlichean còd eisimpleir ann an còd tĂšsail leabharlann elFinder, a tha air an toirt seachad san eòlaire obrach leis an leudachadh ".dist". Tha an so-leòntachd air adhbhrachadh leis an fhĂŹrinn gun deach am faidhle "connector.minimal.php.dist" ath-ainmeachadh gu "connector.minimal.php" rè sgaoileadh na leabharlainn agus gun deach a thoirt seachad airson a chur an gnĂŹomh nuair a chuirear iarrtasan bhon taobh a-muigh. Leigidh an sgriobt seo le gnĂŹomhachd faidhle sam bith (luchdachadh suas, fosgladh, deasachadh, ath-ainmeachadh, rm, msaa.) a bhith air a dhèanamh, leis gu bheil na paramadairean aige air an cur chun ghnĂŹomh run() den phrĂŹomh plugan, a ghabhas cleachdadh gus faidhlichean PHP a chur nan Ă ite ann an WordPress agus aâ ruith còd neo-riaghailteach.
Is e an rud a tha aâ dèanamh aâ chunnart nas miosa gu bheil so-leòntachd ann mu thrĂ th gus ionnsaighean fèin-ghluasadach a dhèanamh, nuair a thèid ĂŹomhaigh anns a bheil còd PHP a luchdachadh suas chun eòlaire âplugins / wp-file-manager / lib / files /â a âcleachdadh an Ă ithneâ luchdachadh suas â, a tha an uairsin air ath-ainmeachadh gu sgriobt PHP leis an ainm air a thaghadh air thuaiream agus anns a bheil an teacsa âhardâ no âx.â, mar eisimpleir, hardfork.php, hardfind.php, x.php, msaa). Aon uair âs gu bheil e air a chuir gu bĂ s, cuiridh an còd PHP cĂšl-raon ris na faidhlichean /wp-admin/admin-ajax.php agus /wp-includes/user.php, aâ toirt cothrom do luchd-ionnsaigh air eadar-aghaidh rianadair na lĂ raich. Tha gnĂŹomhachd air a dhèanamh le bhith aâ cur iarrtas POST chun fhaidhle âwp-file-manager/lib/php/connector.minimal.phpâ.
Bu chòir a thoirt fa-near, Ă s deidh an hack, a bharrachd air a bhith aâ fĂ gail an doras cĂšil, gun tèid atharrachaidhean a dhèanamh gus tuilleadh fiosan a dhĂŹon chun fhaidhle connector.minimal.php, anns a bheil so-leòntachd, gus casg a chuir air luchd-ionnsaigh eile a bhith aâ toirt ionnsaigh air an fhrithealaiche.
Chaidh a 'chiad oidhirpean ionnsaigh a lorg air 1 Sultain aig 7m (UTC). ANNS
12: 33 (UTC) tha luchd-leasachaidh am plugan Manaidsear File air paiste a leigeil ma sgaoil. A rèir aâ chompanaidh Wordfence a chomharraich an so-leòntachd, chuir am balla-teine ââââaca stad air timcheall air 450 mĂŹle oidhirp gus brath a ghabhail air so-leòntachd gach latha. Sheall sgrĂšdadh lĂŹonra nach eil 52% de lĂ raich a tha aâ cleachdadh aâ plugan seo air Ăšrachadh fhathast agus gu bheil iad so-leònte. Ăs deidh dhut an Ăšrachadh a chuir a-steach, tha e ciallach sgrĂšdadh a dhèanamh air log an fhrithealaiche http airson fiosan chun sgriobt âconnector.minimal.phpâ gus faighinn a-mach a bheil an siostam air a chuir an cunnart.
A bharrachd air an sin, faodaidh tu an sgaoileadh ceartachaidh a thoirt fa-near a mhol .
Source: fosgailtenet.ru
