Í WordPress viðbót með meira en 700 þúsund virkum uppsetningum, varnarleysi sem gerir kleift að framkvæma handahófskenndar skipanir og PHP forskriftir á þjóninum. Vandamálið birtist í File Manager útgáfum 6.0 til 6.8 og er leyst í útgáfu 6.9.
Skráastjórnunarviðbótin býður upp á skráastjórnunartæki fyrir WordPress stjórnandann og notar meðfylgjandi bókasafn til að meðhöndla skrár á lágu stigi . Frumkóði elFinder bókasafnsins inniheldur skrár með kóðadæmum, sem eru til staðar í vinnuskránni með endingunni „.dist“. Varnarleysið stafar af því að þegar safnið var sent var skráin „connector.minimal.php.dist“ breytt í „connector.minimal.php“ og varð tiltæk til framkvæmdar þegar utanaðkomandi beiðnir voru sendar. Tilgreint forskrift gerir þér kleift að framkvæma allar aðgerðir með skrám (hlaða upp, opna, ritstjóra, endurnefna, rm, osfrv.), þar sem færibreytur þess eru sendar til run() aðgerðarinnar í aðalviðbótinni, sem hægt er að nota til að skipta um PHP skrár í WordPress og keyrðu handahófskenndan kóða.
Það sem gerir hættuna verri er að varnarleysi er nú þegar til að framkvæma sjálfvirkar árásir, þar sem mynd sem inniheldur PHP kóða er hlaðið upp í "plugins/wp-file-manager/lib/files/" möppuna með því að nota "upload" skipunina, sem síðan er endurnefnt í PHP skriftu sem heitir valið af handahófi og inniheldur textann „harður“ eða „x.“, til dæmis hardfork.php, hardfind.php, x.php, osfrv.). Þegar PHP kóðinn hefur verið keyrður bætir hann bakdyrum við /wp-admin/admin-ajax.php og /wp-includes/user.php skrárnar, sem gefur árásarmönnum aðgang að viðmóti síðustjóra. Aðgerðin er framkvæmd með því að senda POST beiðni á skrána „wp-file-manager/lib/php/connector.minimal.php“.
Athygli vekur að eftir innbrotið, auk þess að yfirgefa bakdyrnar, eru breytingar gerðar til að vernda frekari símtöl í connector.minimal.php skrána, sem inniheldur varnarleysið, til að hindra möguleikann á að aðrir árásarmenn ráðist á netþjóninn.
Fyrstu árásartilraunirnar greindust 1. september klukkan 7 að morgni (UTC). IN
12:33 (UTC) þróunaraðilar File Manager viðbótarinnar hafa gefið út plástur. Samkvæmt Wordfence fyrirtækinu sem greindi varnarleysið, hindraði eldveggurinn þeirra um 450 þúsund tilraunir til að nýta sér veikleikann á dag. Netskönnun sýndi að 52% vefsvæða sem nota þessa viðbót hafa ekki enn uppfært og eru enn viðkvæmar. Eftir að uppfærslan hefur verið sett upp er skynsamlegt að athuga http netþjónsskrána fyrir símtöl í „connector.minimal.php“ forskriftina til að ákvarða hvort kerfið hafi verið í hættu.
Að auki geturðu tekið eftir leiðréttingarútgáfunni sem lagði til .
Heimild: opennet.ru