Egy WordPress bővítményben több mint 700 ezer aktív telepítéssel, egy biztonsági rés, amely tetszőleges parancsok és PHP-szkriptek futtatását teszi lehetővé a szerveren. A probléma a Fájlkezelő 6.0-6.8-as kiadásaiban jelenik meg, és a 6.9-es kiadásban megoldódott.
A Fájlkezelő beépülő modul fájlkezelő eszközöket biztosít a WordPress adminisztrátor számára, a mellékelt könyvtár használatával az alacsony szintű fájlkezeléshez . Az elFinder könyvtár forráskódja kódpéldákkal ellátott fájlokat tartalmaz, amelyek a munkakönyvtárban találhatók „.dist” kiterjesztéssel. A sérülékenységet az okozza, hogy a könyvtár kiszállításakor a "connector.minimal.php.dist" fájlt "connector.minimal.php" névre keresztelték át, és külső kérések küldésekor végrehajthatóvá vált. A megadott szkript lehetővé teszi bármilyen művelet végrehajtását a fájlokkal (feltöltés, megnyitás, szerkesztő, átnevezés, rm stb.), mivel a paraméterei a fő beépülő modul run() függvényének vannak átadva, amivel PHP-fájlokat lehet lecserélni. a WordPressben, és tetszőleges kódot futtathat.
A veszélyt csak tovább rontja, hogy a sebezhetőség már fennáll automatizált támadások végrehajtására, amelyek során a „plugins/wp-file-manager/lib/files/” könyvtárba a „plugins/wp-file-manager/lib/files/” könyvtárba kerül az „upload” paranccsal egy PHP kódot tartalmazó kép, amelyet ezután átnevez egy PHP szkriptre, melynek neve véletlenszerűen kiválasztott, és a „hard” vagy „x.” szöveget tartalmazza, például hardfork.php, hardfind.php, x.php stb.). A végrehajtást követően a PHP-kód egy hátsó ajtót ad a /wp-admin/admin-ajax.php és /wp-includes/user.php fájlokhoz, így a támadók hozzáférhetnek a webhely rendszergazdai felületéhez. A művelet egy POST kérés elküldésével történik a „wp-file-manager/lib/php/connector.minimal.php” fájlba.
Figyelemre méltó, hogy a feltörést követően a hátsó ajtó elhagyása mellett a biztonsági rést tartalmazó connector.minimal.php fájl további hívásainak védelme érdekében változtatásokat hajtanak végre annak érdekében, hogy megakadályozzák, hogy más támadók megtámadják a szervert.
Az első támadási kísérleteket szeptember 1-jén 7 órakor észlelték (UTC). BAN BEN
12:33 (UTC) A Fájlkezelő bővítmény fejlesztői kiadtak egy javítást. A sebezhetőséget azonosító Wordfence cég szerint a tűzfaluk naponta mintegy 450 ezer kísérletet blokkolt a sérülékenység kihasználására. A hálózati vizsgálat kimutatta, hogy az ezt a beépülő modult használó webhelyek 52%-a még nem frissült, és továbbra is sebezhető. A frissítés telepítése után célszerű ellenőrizni a http szerver naplójában, hogy nem hívják-e a „connector.minimal.php” parancsfájlt, hogy megállapítsa, nem került-e veszélybe a rendszer.
Ezenkívül megjegyezheti a korrekciós kiadást amely javasolta .
Forrás: opennet.ru