В WordPress-plugin med mer enn 700 tusen aktive installasjoner, en sårbarhet som gjør at vilkårlige kommandoer og PHP-skript kan kjøres på serveren. Problemet dukker opp i File Manager-utgaver 6.0 til 6.8 og er løst i versjon 6.9.
Плагин File Manager предоставляет инструменты для управления файлами для администратора WordPress, используя для низкоуровневых манипуляций с файлами входящую в состав библиотеку . В исходном коде библиотеки elFinder присутствуют файлы с примерами кода, которые поставляются в рабочем каталоге с расширением «.dist». Уязвимость вызвана тем, что при поставке библиотеки файл «connector.minimal.php.dist» был переименован в «connector.minimal.php» и стал доступен для выполнения при отправке внешних запросов. Указанный скрипт позволяет выполнить любые операции с файлами (upload, open, editor, rename, rm и т.п.), так как его параметры передаются в функцию run() основного плагина, что может использоваться для замены PHP-файлов в WordPress и запуска произвольного кода.
Det som gjør faren verre er at sårbarheten allerede er det for å utføre automatiserte angrep, hvor et bilde som inneholder PHP-kode lastes opp til katalogen "plugins/wp-file-manager/lib/files/" ved å bruke kommandoen "upload", som deretter omdøpes til et PHP-skript hvis navn er valgt tilfeldig og inneholder teksten “hard” eller “x.”, for eksempel hardfork.php, hardfind.php, x.php, etc.). Når den er utført, legger PHP-koden til en bakdør til filene /wp-admin/admin-ajax.php og /wp-includes/user.php, og gir angripere tilgang til administratorgrensesnittet for nettstedet. Operasjonen utføres ved å sende en POST-forespørsel til filen "wp-file-manager/lib/php/connector.minimal.php".
Det er bemerkelsesverdig at etter hacket, i tillegg til å forlate bakdøren, blir det gjort endringer for å beskytte ytterligere anrop til connector.minimal.php-filen, som inneholder sårbarheten, for å blokkere muligheten for å angripe serveren av andre angripere.
De første angrepsforsøkene ble oppdaget 1. september klokken 7 (UTC). I
12:33 (UTC) utviklerne av filbehandler-pluginen har gitt ut en patch. I følge Wordfence-selskapet som identifiserte sårbarheten, blokkerte brannmuren deres rundt 450 tusen forsøk på å utnytte sårbarheten per dag. En nettverksskanning viste at 52 % av nettstedene som bruker denne plugin-en ennå ikke har oppdatert og fortsatt er sårbare. Etter å ha installert oppdateringen, er det fornuftig å sjekke http-serverloggen for anrop til "connector.minimal.php"-skriptet for å finne ut om systemet har blitt kompromittert.
I tillegg kan du legge merke til den korrigerende utgivelsen som foreslo .
Kilde: opennet.ru
