V vtičniku WordPress z več kot 700 tisoč aktivnimi namestitvami, ranljivost, ki omogoča izvajanje poljubnih ukazov in PHP skriptov na strežniku. Težava se pojavi v izdajah upravitelja datotek od 6.0 do 6.8 in je odpravljena v izdaji 6.9.
Vtičnik File Manager ponuja orodja za upravljanje datotek za skrbnika WordPressa z uporabo vključene knjižnice za nizkonivojsko upravljanje datotek . Izvorna koda knjižnice elFinder vsebuje datoteke s primeri kode, ki so dobavljene v delovnem imeniku s pripono “.dist”. Ranljivost je posledica dejstva, da je bila ob pošiljanju knjižnice datoteka "connector.minimal.php.dist" preimenovana v "connector.minimal.php" in je postala na voljo za izvajanje pri pošiljanju zunanjih zahtev. Navedeni skript vam omogoča izvajanje kakršnih koli operacij z datotekami (nalaganje, odpiranje, urejanje, preimenovanje, rm itd.), saj se njegovi parametri posredujejo funkciji run() glavnega vtičnika, ki se lahko uporablja za zamenjavo datotek PHP v WordPressu in zaženite poljubno kodo.
Nevarnost je še hujša, ker ranljivost že obstaja za izvajanje avtomatiziranih napadov, med katerimi se slika, ki vsebuje kodo PHP, naloži v imenik “plugins/wp-file-manager/lib/files/” z ukazom “upload”, ki se nato preimenuje v skript PHP z imenom izbran naključno in vsebuje besedilo »hard« ali »x.«, na primer hardfork.php, hardfind.php, x.php itd.). Ko se izvede, koda PHP doda stranska vrata v datoteke /wp-admin/admin-ajax.php in /wp-includes/user.php, kar napadalcem omogoči dostop do skrbniškega vmesnika spletnega mesta. Operacija se izvede s pošiljanjem zahteve POST v datoteko “wp-file-manager/lib/php/connector.minimal.php”.
Omeniti velja, da se po vdoru poleg zapustitve stranskih vrat izvedejo spremembe za zaščito nadaljnjih klicev datoteke connector.minimal.php, ki vsebuje ranljivost, da se prepreči možnost napadov na strežnik s strani drugih napadalcev.
Prvi poskusi napada so bili zaznani 1. septembra ob 7. uri (UTC). IN
12:33 (UTC) razvijalci vtičnika File Manager so izdali popravek. Po podatkih podjetja Wordfence, ki je identificiralo ranljivost, je njihov požarni zid blokiral okoli 450 tisoč poskusov izkoriščanja ranljivosti na dan. Pregled omrežja je pokazal, da 52 % spletnih mest, ki uporabljajo ta vtičnik, še ni posodobljenih in ostajajo ranljiva. Po namestitvi posodobitve je smiselno preveriti dnevnik strežnika http za klice skripta “connector.minimal.php”, da ugotovite, ali je bil sistem ogrožen.
Poleg tega si lahko zapomnite popravljalno izdajo ki je predlagal .
Vir: opennet.ru