Në një plugin WordPress me më shumë se 700 mijë instalime aktive, një dobësi që lejon që komandat arbitrare dhe skriptet PHP të ekzekutohen në server. Problemi shfaqet në versionet 6.0 deri në 6.8 dhe zgjidhet në versionin 6.9.
Shtojca File Manager ofron mjete për menaxhimin e skedarëve për administratorin e WordPress, duke përdorur bibliotekën e përfshirë për manipulimin e skedarëve të nivelit të ulët . Kodi burimor i bibliotekës elFinder përmban skedarë me shembuj kodesh, të cilët ofrohen në drejtorinë e punës me shtesën ".dist". Dobësia shkaktohet nga fakti se kur biblioteka u dërgua, skedari "connector.minimal.php.dist" u riemërua në "connector.minimal.php" dhe u bë i disponueshëm për ekzekutim gjatë dërgimit të kërkesave të jashtme. Skripti i specifikuar ju lejon të kryeni çdo operacion me skedarë (ngarkoni, hapni, redaktuesin, riemërtoni, rm, etj.), pasi parametrat e tij kalojnë në funksionin run() të shtojcës kryesore, e cila mund të përdoret për të zëvendësuar skedarët PHP në WordPress dhe ekzekutoni kodin arbitrar.
Ajo që e bën rrezikun më keq është se cenueshmëria është tashmë për të kryer sulme të automatizuara, gjatë të cilave një imazh që përmban kodin PHP ngarkohet në drejtorinë "plugins/wp-file-manager/lib/files/" duke përdorur komandën "upload", e cila më pas riemërohet në një skript PHP emri i të cilit është zgjedhur rastësisht dhe përmban tekstin "hard" ose "x.", për shembull, hardfork.php, hardfind.php, x.php, etj.). Pasi të ekzekutohet, kodi PHP shton një derë të pasme në skedarët /wp-admin/admin-ajax.php dhe /wp-includes/user.php, duke u dhënë sulmuesve akses në ndërfaqen e administratorit të faqes. Operacioni kryhet duke dërguar një kërkesë POST në skedarin "wp-file-manager/lib/php/connector.minimal.php".
Vlen të përmendet se pas hakimit, përveç daljes nga backdoor, bëhen ndryshime për të mbrojtur thirrjet e mëtejshme në skedarin connector.minimal.php, i cili përmban cenueshmërinë, në mënyrë që të bllokohet mundësia që sulmuesit e tjerë të sulmojnë serverin.
Përpjekjet e para të sulmit u zbuluan më 1 shtator në orën 7 të mëngjesit (UTC). NË
12:33 (UTC) zhvilluesit e shtojcës File Manager kanë lëshuar një patch. Sipas kompanisë Wordfence që identifikoi cenueshmërinë, muri i tyre i zjarrit bllokoi rreth 450 mijë përpjekje për të shfrytëzuar dobësinë në ditë. Një skanim i rrjetit tregoi se 52% e faqeve që përdorin këtë shtojcë nuk janë përditësuar ende dhe mbeten të prekshme. Pas instalimit të përditësimit, ka kuptim të kontrolloni regjistrin e serverit http për thirrjet në skriptin "connector.minimal.php" për të përcaktuar nëse sistemi është komprometuar.
Për më tepër, mund të vini re lëshimin korrigjues i cili propozoi .
Burimi: opennet.ru