В WordPress-plugin med mer enn 700 tusen aktive installasjoner, en sårbarhet som gjør at vilkårlige kommandoer og PHP-skript kan kjøres på serveren. Problemet dukker opp i File Manager-utgaver 6.0 til 6.8 og er løst i versjon 6.9.
Filbehandling-pluginen tilbyr filbehandlingsverktøy for administratoren. WordPress, ved hjelp av det inkluderte biblioteket for filmanipulering på lavt nivå Kildekoden til elFinder-biblioteket inneholder eksempelkodefiler som leveres i arbeidskatalogen med filtypen ".dist". Sårbarheten skyldes at filen "connector.minimal.php.dist" ble omdøpt til "connector.minimal.php" under bibliotekdistribusjonen og ble tilgjengelig for utførelse når eksterne forespørsler ble sendt. Dette skriptet tillater at alle filoperasjoner (opplasting, åpning, redigering, omdøp, rm osv.) utføres, siden parameterne sendes til run()-funksjonen til hovedpluginen, som kan brukes til å erstatte PHP-filer i WordPress og kjører vilkårlig kode.
Det som gjør faren verre er at sårbarheten allerede er det for å utføre automatiserte angrep, hvor et bilde som inneholder PHP-kode lastes opp til katalogen "plugins/wp-file-manager/lib/files/" ved å bruke kommandoen "upload", som deretter omdøpes til et PHP-skript hvis navn er valgt tilfeldig og inneholder teksten “hard” eller “x.”, for eksempel hardfork.php, hardfind.php, x.php, etc.). Når den er utført, legger PHP-koden til en bakdør til filene /wp-admin/admin-ajax.php og /wp-includes/user.php, og gir angripere tilgang til administratorgrensesnittet for nettstedet. Operasjonen utføres ved å sende en POST-forespørsel til filen "wp-file-manager/lib/php/connector.minimal.php".
Det er bemerkelsesverdig at etter hacket, i tillegg til å forlate bakdøren, blir det gjort endringer for å beskytte ytterligere anrop til connector.minimal.php-filen, som inneholder sårbarheten, for å blokkere muligheten for å angripe serveren av andre angripere.
De første angrepsforsøkene ble oppdaget 1. september klokken 7 (UTC). I
12:33 (UTC) utviklerne av filbehandler-pluginen har gitt ut en patch. I følge Wordfence-selskapet som identifiserte sårbarheten, blokkerte brannmuren deres rundt 450 tusen forsøk på å utnytte sårbarheten per dag. En nettverksskanning viste at 52 % av nettstedene som bruker denne plugin-en ennå ikke har oppdatert og fortsatt er sårbare. Etter å ha installert oppdateringen, er det fornuftig å sjekke http-serverloggen for anrop til "connector.minimal.php"-skriptet for å finne ut om systemet har blitt kompromittert.
I tillegg kan du legge merke til den korrigerende utgivelsen som foreslo .
Kilde: opennet.ru
