Во приклучок за WordPress , насчитывающем более 700 тысяч активных установок, уязвимость, позволяющая запускать произвольные команды и PHP-скрипты на сервере. Проблема проявляется в выпусках File Manager с 6.0 по 6.8 и устранена в выпуске 6.9.
Плагин File Manager предоставляет инструменты для управления файлами для администратора WordPress, используя для низкоуровневых манипуляций с файлами входящую в состав библиотеку . В исходном коде библиотеки elFinder присутствуют файлы с примерами кода, которые поставляются в рабочем каталоге с расширением «.dist». Уязвимость вызвана тем, что при поставке библиотеки файл «connector.minimal.php.dist» был переименован в «connector.minimal.php» и стал доступен для выполнения при отправке внешних запросов. Указанный скрипт позволяет выполнить любые операции с файлами (upload, open, editor, rename, rm и т.п.), так как его параметры передаются в функцию run() основного плагина, что может использоваться для замены PHP-файлов в WordPress и запуска произвольного кода.
Опасность усугубляет то, что уязвимость уже для совершения автоматизированных атак, в ходе которых в каталог «plugins/wp-file-manager/lib/files/» при помощи команды «upload» загружается изображение, содержащее PHP-код, которое затем переименовывается в PHP-скрипт, имя которого выбирается случайно и содержит текст «hard» или «x.», например, hardfork.php, hardfind.php, x.php и т.п.). После запуска PHP-код добавляет бэкдор в файлы /wp-admin/admin-ajax.php и /wp-includes/user.php, предоставляющий злоумышленникам доступ в интерфейс администратора сайта. Эксплуатация осуществляется через отправку POST-запроса к файлу «wp-file-manager/lib/php/connector.minimal.php».
Примечательно, что после взлома кроме оставления бэкдора вносятся изменения для защиты дальнейших обращений к файлу connector.minimal.php, в котором содержится уязвимость, с целью блокирования возможности атаки на сервер другими злоумышленниками.
Первые попытки атаки были выявлены 1 сентября в 7 утра (UTC). В
12:33 (UTC) разработчики плагина File Manager выпустили патч. По данным выявившей уязвимость компании Wordfence за день их межсетевой экран заблокировал около 450 тысяч попыток эксплуатации уязвимости. Сканирование сети показало, что 52% сайтов, использующих данный плагин ещё не произвели обновление и остаются уязвимыми. После установки обновления имеет смысл проверить в логе http-сервера обращения к скрипту «connector.minimal.php» для определения факта компрометации системы.
Дополнительно можно отметить корректирующий выпуск в котором предложено .
Извор: opennet.ru