ProHoster > බ්ලොග් > අන්තර්ජාල පුවත් > ස්ථාපන 700 ක් සහිත ගොනු කළමනාකරු වර්ඩ්ප්‍රෙස් ප්ලගිනයේ ඇති විවේචනාත්මක අවදානම

ස්ථාපන 700 ක් සහිත ගොනු කළමනාකරු වර්ඩ්ප්‍රෙස් ප්ලගිනයේ ඇති විවේචනාත්මක අවදානම

WordPress ප්ලගිනයක ගොනු කළමනාකරුසක්‍රීය ස්ථාපනයන් 700 කට වඩා සමඟ, හඳුනාගෙන ඇත අත්තනෝමතික විධාන සහ PHP ස්ක්‍රිප්ට් සේවාදායකය මත ක්‍රියාත්මක කිරීමට ඉඩ සලසන අවදානමකි. ගොනු කළමනාකරු 6.0 සිට 6.8 දක්වා නිකුතුවේ මෙම ගැටළුව දිස්වන අතර 6.9 නිකුතුවේදී විසඳනු ලැබේ.

ගොනු කළමනාකරු ප්ලගිනය WordPress පරිපාලක සඳහා ගොනු කළමනාකරණ මෙවලම් සපයයි, පහත මට්ටමේ ගොනු හැසිරවීම සඳහා ඇතුළත් පුස්තකාලය භාවිතා කරයි. elFinder. elFinder පුස්තකාලයේ ප්‍රභව කේතයේ කේත උදාහරණ සහිත ගොනු අඩංගු වේ, ඒවා ".dist" දිගුව සමඟ වැඩ කරන නාමාවලියෙහි සපයනු ලැබේ. පුස්තකාලය නැව්ගත කළ විට, "connector.minimal.php.dist" ගොනුව "connector.minimal.php" ලෙස නැවත නම් කර බාහිර ඉල්ලීම් යැවීමේදී ක්‍රියාත්මක කිරීම සඳහා ලබා ගත හැකි වීම මෙම අවදානමට හේතු වේ. PHP ගොනු ප්‍රතිස්ථාපනය කිරීමට භාවිතා කළ හැකි ප්‍රධාන ප්ලගිනයේ ධාවන() ශ්‍රිතය වෙත එහි පරාමිතියන් ලබා දෙන බැවින්, නිශ්චිත ස්ක්‍රිප්ට් මඟින් ඔබට ගොනු (උඩුගත කිරීම, විවෘත කිරීම, සංස්කාරකය, නැවත නම් කිරීම, rm, ආදිය) සමඟ ඕනෑම මෙහෙයුමක් සිදු කිරීමට ඉඩ සලසයි. WordPress හි සහ අත්තනෝමතික කේතය ධාවනය කරන්න.

අන්තරාය වඩාත් නරක අතට හැරෙන්නේ අවදානම දැනටමත් පැවතීමයි භාවිතා වේ ස්වයංක්‍රීය ප්‍රහාර සිදු කිරීම සඳහා, PHP කේතය අඩංගු රූපයක් “upload” විධානය භාවිතයෙන් “plugins/wp-file-manager/lib/files/” බහලුම වෙත උඩුගත කරනු ලැබේ, පසුව එය PHP ස්ක්‍රිප්ට් එකක් ලෙස නම් කෙරේ. අහඹු ලෙස තෝරාගෙන "hard" හෝ "x" යන පෙළ අඩංගු වේ, උදාහරණයක් ලෙස, hardfork.php, hardfind.php, x.php, ආදිය). ක්‍රියාත්මක වූ පසු, PHP කේතය /wp-admin/admin-ajax.php සහ /wp-includes/user.php ගොනු වෙත පසු දොරක් එක් කරයි, ප්‍රහාරකයන්ට අඩවි පරිපාලක අතුරුමුහුණත වෙත ප්‍රවේශය ලබා දෙයි. "wp-file-manager/lib/php/connector.minimal.php" ගොනුවට POST ඉල්ලීමක් යැවීමෙන් මෙහෙයුම සිදු කෙරේ.

හැක් කිරීමෙන් පසු, පිටුපස දොරෙන් පිටවීමට අමතරව, වෙනත් ප්‍රහාරකයින් සේවාදායකයට පහර දීමේ හැකියාව අවහිර කිරීම සඳහා, අවදානම අඩංගු connector.minimal.php ගොනුව වෙත වැඩිදුර ඇමතුම් ආරක්ෂා කිරීම සඳහා වෙනස්කම් සිදු කරන බව සැලකිය යුතු කරුණකි.
පළමු ප්‍රහාරයේ උත්සාහයන් සැප්තැම්බර් 1 වන දින උදෑසන 7 ට අනාවරණය විය (UTC). තුල
12:33 (යූටීසී) ගොනු කළමනාකරු ප්ලගිනයේ සංවර්ධකයින් පැච් එකක් නිකුත් කර ඇත. අවදානම හඳුනා ගත් වර්ඩ්ෆෙන්ස් සමාගමට අනුව, ඔවුන්ගේ ෆයර්වෝලය දිනකට අවදානම සූරාකෑමේ උත්සාහයන් 450 ක් පමණ අවහිර කළේය. ජාල ස්කෑන් කිරීමකින් පෙන්නුම් කළේ මෙම ප්ලගිනය භාවිතා කරන අඩවි වලින් 52% ක් තවමත් යාවත්කාලීන කර නොමැති අතර අවදානමට ලක්ව ඇති බවයි. යාවත්කාලීනය ස්ථාපනය කිරීමෙන් පසුව, පද්ධතිය සම්මුතියකට ලක් වී ඇත්ද යන්න තීරණය කිරීම සඳහා "connector.minimal.php" ස්ක්‍රිප්ට් වෙත ඇමතුම් සඳහා http සේවාදායක ලොගය පරීක්ෂා කිරීම අර්ථවත් කරයි.

අතිරේකව, ඔබට නිවැරදි නිකුතුව සටහන් කළ හැකිය වර්ඩ්ප්රෙස් 5.5.1 යෝජනා කරන 40 නිවැරදි කිරීම්.

මූලාශ්රය: opennet.ru

අදහස් එක් කරන්න