Ho WordPress plugin ka meaho e sebetsang e fetang likete tse 700, bofokoli bo lumellang litaelo tse sa reroang le lingoloa tsa PHP ho phethoa ho seva. Taba e hlaha ho File Manager e lokolla 6.0 ho isa ho 6.8 mme e rarolloa ka tokollo ea 6.9.
File Manager plugin e fana ka lisebelisoa tsa taolo ea faele bakeng sa motsamaisi oa WordPress, a sebelisa laeborari e kenyellelitsoeng bakeng sa ho qhekella ha lifaele tsa boemo bo tlase. . Khoutu ea mohloli oa laebrari ea elFinder e na le lifaele tse nang le mehlala ea khoutu, tse fanoeng bukeng ea ho sebetsa ka ".dist". Kotsi e bakoa ke taba ea hore ha laebrari e ne e romelloa, faele ea "connector.minimal.php.dist" e ile ea rehoa "connector.minimal.php" 'me ea e-ba teng bakeng sa ho bolaoa ha ho romela likōpo tsa ka ntle. Sengoloa se boletsoeng se u lumella ho etsa ts'ebetso efe kapa efe ka lifaele (ho kenya, ho bula, mohlophisi, rename, rm, joalo-joalo), kaha mekhahlelo ea eona e fetisetsoa ho run() ts'ebetso ea plugin e kholo, e ka sebelisoang ho nkela lifaele tsa PHP sebaka. ka WordPress 'me u tsamaise khoutu e ikemetseng.
Se etsang hore kotsi e mpe le ho feta ke hore ts'oaetso e se e ntse e le teng ho etsa litlhaselo tsa boiketsetso, nakong eo setšoantšo se nang le khoutu ea PHP se kengoang bukeng ea "plugins/wp-file-manager/lib/files/" ho sebelisoa taelo ea "upload", e ntan'o reha lebitso la PHP script eo lebitso la eona e leng. e khethiloeng ka mokhoa o sa reroang 'me e na le mongolo "thata" kapa "x.", mohlala, hardfork.php, hardfind.php, x.php, joalo-joalo). Hang ha e phethiloe, khoutu ea PHP e eketsa ka morao ho lifaele tsa /wp-admin/admin-ajax.php le /wp-includes/user.php, ho fa bahlaseli monyetla oa ho fumana sebopeho sa mookameli oa sebaka. Ts'ebetso e etsoa ka ho romela kopo ea POST ho faele "wp-file-manager/lib/php/connector.minimal.php".
Hoa hlokomeleha hore ka mor'a ho senya, ntle le ho tloha ka morao, ho etsoa liphetoho ho sireletsa li-call tse eketsehileng ho file connector.minimal.php, e nang le ts'oaetso, e le ho thibela monyetla oa hore bahlaseli ba bang ba hlasele seva.
Liteko tsa pele tsa tlhaselo li ile tsa fumanoa ka September 1 ka 7 am (UTC). IN
12:33 (UTC) baetsi ba plugin ea File Manager ba lokolotse patch. Ho ea ka k'hamphani ea Wordfence e ileng ea tsebahatsa bofokoli, firewall ea bona e ile ea thibela liteko tse ka bang likete tse 450 tsa ho sebelisa monyetla oa ho ba kotsing ka letsatsi. Ho hlahlojoa ha marang-rang ho bontšitse hore 52% ea libaka tse sebelisang plugin ena ha li e-s'o ntlafatsoe 'me li lula li le kotsing. Ka mor'a ho kenya ts'ebetsong, hoa utloahala ho hlahloba http log server bakeng sa li-call ho "connector.minimal.php" script ho fumana hore na tsamaiso e senyehile.
Ho feta moo, o ka ela hloko tokollo e lokisoang e sisintsweng .
Source: opennet.ru