Dalam pemalam WordPress dengan lebih daripada 700 ribu pemasangan aktif, kelemahan yang membenarkan arahan sewenang-wenangnya dan skrip PHP dilaksanakan pada pelayan. Isu ini muncul dalam keluaran Pengurus Fail 6.0 hingga 6.8 dan diselesaikan dalam keluaran 6.9.
Pemalam Pengurus Fail menyediakan alatan pengurusan fail untuk pentadbir WordPress, menggunakan perpustakaan yang disertakan untuk manipulasi fail peringkat rendah . Kod sumber pustaka elFinder mengandungi fail dengan contoh kod, yang dibekalkan dalam direktori kerja dengan sambungan ".dist". Kerentanan ini disebabkan oleh fakta bahawa apabila perpustakaan dihantar, fail "connector.minimal.php.dist" telah dinamakan semula kepada "connector.minimal.php" dan tersedia untuk dilaksanakan apabila menghantar permintaan luaran. Skrip yang ditentukan membolehkan anda melakukan sebarang operasi dengan fail (muat naik, buka, editor, namakan semula, rm, dll.), memandangkan parameternya dihantar ke fungsi run() pemalam utama, yang boleh digunakan untuk menggantikan fail PHP dalam WordPress dan jalankan kod sewenang-wenangnya.
Apa yang menjadikan bahaya lebih teruk ialah kelemahan sudah ada untuk menjalankan serangan automatik, di mana imej yang mengandungi kod PHP dimuat naik ke direktori "plugins/wp-file-manager/lib/files/" menggunakan arahan "muat naik", yang kemudian dinamakan semula menjadi skrip PHP yang namanya dipilih secara rawak dan mengandungi teks "keras" atau "x.", contohnya, hardfork.php, hardfind.php, x.php, dll.). Setelah dilaksanakan, kod PHP menambah pintu belakang pada fail /wp-admin/admin-ajax.php dan /wp-includes/user.php, memberikan penyerang akses kepada antara muka pentadbir tapak. Operasi dijalankan dengan menghantar permintaan POST ke fail "wp-file-manager/lib/php/connector.minimal.php".
Perlu diperhatikan bahawa selepas penggodaman, selain meninggalkan pintu belakang, perubahan dibuat untuk melindungi panggilan selanjutnya ke fail connector.minimal.php, yang mengandungi kelemahan, untuk menyekat kemungkinan penyerang lain menyerang pelayan.
Percubaan serangan pertama dikesan pada 1 September jam 7 pagi (UTC). DALAM
12:33 (UTC) pembangun pemalam Pengurus Fail telah mengeluarkan tampung. Menurut syarikat Wordfence yang mengenal pasti kelemahan, tembok api mereka menyekat kira-kira 450 ribu percubaan untuk mengeksploitasi kelemahan setiap hari. Imbasan rangkaian menunjukkan bahawa 52% tapak yang menggunakan pemalam ini masih belum dikemas kini dan masih terdedah. Selepas memasang kemas kini, adalah wajar untuk menyemak log pelayan http untuk panggilan ke skrip "connector.minimal.php" untuk menentukan sama ada sistem telah terjejas.
Selain itu, anda boleh perhatikan keluaran pembetulan yang dicadangkan .
Sumber: opennet.ru