In un plugin WordPress con più di 700mila installazioni attive, una vulnerabilità che consente l'esecuzione di comandi arbitrari e script PHP sul server. Il problema viene visualizzato nelle versioni di File Manager dalla 6.0 alla 6.8 e viene risolto nella versione 6.9.
Il plugin File Manager fornisce strumenti di gestione dei file per l'amministratore di WordPress, utilizzando la libreria inclusa per la manipolazione dei file di basso livello . Il codice sorgente della libreria elFinder contiene file con esempi di codice, che vengono forniti nella directory di lavoro con l'estensione “.dist”. La vulnerabilità è causata dal fatto che al momento della spedizione della libreria, il file "connector.minimal.php.dist" è stato rinominato in "connector.minimal.php" ed è diventato disponibile per l'esecuzione durante l'invio di richieste esterne. Lo script specificato consente di eseguire qualsiasi operazione con i file (caricamento, apertura, editor, ridenominazione, rm, ecc.), poiché i suoi parametri vengono passati alla funzione run() del plugin principale, che può essere utilizzata per sostituire i file PHP in WordPress ed esegui codice arbitrario.
Ciò che peggiora il pericolo è che la vulnerabilità esiste già per effettuare attacchi automatizzati, durante i quali tramite il comando “upload” viene caricata nella directory “plugins/wp-file-manager/lib/files/” un’immagine contenente codice PHP, che viene poi rinominata in uno script PHP il cui nome è scelto casualmente e contiene il testo “hard” o “x.”, ad esempio hardfork.php, hardfind.php, x.php, ecc.). Una volta eseguito, il codice PHP aggiunge una backdoor ai file /wp-admin/admin-ajax.php e /wp-includes/user.php, consentendo agli aggressori di accedere all'interfaccia dell'amministratore del sito. L'operazione si effettua inviando una richiesta POST al file “wp-file-manager/lib/php/connector.minimal.php”.
È interessante notare che dopo l'hacking, oltre a lasciare la backdoor, vengono apportate modifiche per proteggere ulteriori chiamate al file connettore.minimal.php, che contiene la vulnerabilità, al fine di bloccare la possibilità che altri aggressori attacchino il server.
I primi tentativi di attacco sono stati rilevati il 1 settembre alle 7:XNUMX (UTC). IN
12:33 (UTC) gli sviluppatori del plugin File Manager hanno rilasciato una patch. Secondo la società Wordfence che ha individuato la vulnerabilità, il loro firewall ha bloccato circa 450mila tentativi al giorno di sfruttare la vulnerabilità. Una scansione della rete ha mostrato che il 52% dei siti che utilizzano questo plugin non si sono ancora aggiornati e rimangono vulnerabili. Dopo aver installato l'aggiornamento è opportuno verificare se nel registro del server http sono presenti chiamate allo script "connector.minimal.php" per determinare se il sistema è stato compromesso.
Inoltre, puoi prendere nota della versione correttiva che ha proposto .
Fonte: opennet.ru