I en WordPress-plugin med mer enn 700 tusen aktive installasjoner, en sårbarhet som gjør at vilkårlige kommandoer og PHP-skript kan kjøres på serveren. Problemet dukker opp i File Manager-utgaver 6.0 til 6.8 og er løst i versjon 6.9.
File Manager-pluginet gir filbehandlingsverktøy for WordPress-administratoren, ved å bruke det inkluderte biblioteket for filmanipulering på lavt nivå . Kildekoden til elFinder-biblioteket inneholder filer med kodeeksempler, som leveres i arbeidskatalogen med filtypen ".dist". Sårbarheten er forårsaket av det faktum at da biblioteket ble sendt, ble filen "connector.minimal.php.dist" omdøpt til "connector.minimal.php" og ble tilgjengelig for kjøring ved sending av eksterne forespørsler. Det spesifiserte skriptet lar deg utføre alle operasjoner med filer (laste opp, åpne, redigere, gi nytt navn, rm, etc.), siden parametrene sendes til run()-funksjonen til hovedpluginen, som kan brukes til å erstatte PHP-filer i WordPress og kjør vilkårlig kode.
Det som gjør faren verre er at sårbarheten allerede er det for å utføre automatiserte angrep, hvor et bilde som inneholder PHP-kode lastes opp til katalogen "plugins/wp-file-manager/lib/files/" ved å bruke kommandoen "upload", som deretter omdøpes til et PHP-skript hvis navn er valgt tilfeldig og inneholder teksten “hard” eller “x.”, for eksempel hardfork.php, hardfind.php, x.php, etc.). Når den er utført, legger PHP-koden til en bakdør til filene /wp-admin/admin-ajax.php og /wp-includes/user.php, og gir angripere tilgang til administratorgrensesnittet for nettstedet. Operasjonen utføres ved å sende en POST-forespørsel til filen "wp-file-manager/lib/php/connector.minimal.php".
Det er bemerkelsesverdig at etter hacket, i tillegg til å forlate bakdøren, blir det gjort endringer for å beskytte ytterligere anrop til connector.minimal.php-filen, som inneholder sårbarheten, for å blokkere muligheten for å angripe serveren av andre angripere.
De første angrepsforsøkene ble oppdaget 1. september klokken 7 (UTC). I
12:33 (UTC) utviklerne av filbehandler-pluginen har gitt ut en patch. I følge Wordfence-selskapet som identifiserte sårbarheten, blokkerte brannmuren deres rundt 450 tusen forsøk på å utnytte sårbarheten per dag. En nettverksskanning viste at 52 % av nettstedene som bruker denne plugin-en ennå ikke har oppdatert og fortsatt er sårbare. Etter å ha installert oppdateringen, er det fornuftig å sjekke http-serverloggen for anrop til "connector.minimal.php"-skriptet for å finne ut om systemet har blitt kompromittert.
I tillegg kan du legge merke til den korrigerende utgivelsen som foreslo .
Kilde: opennet.ru