РWordPress-plugin , med mer Àn 700 tusen aktiva installationer, en sÄrbarhet som tillÄter att godtyckliga kommandon och PHP-skript körs pÄ servern. Problemet pÄverkar File Manager-versionerna 6.0 till 6.8 och Àr ÄtgÀrdat i version 6.9.
Insticksprogrammet Filhanterare tillhandahÄller filhanteringsverktyg för administratören. WordPress, med hjÀlp av det medföljande biblioteket för filmanipulation pÄ lÄg nivÄ elFinder-bibliotekets kÀllkod innehÄller exempelkodfiler som finns i arbetskatalogen med tillÀgget ".dist". SÄrbarheten orsakas av att filen "connector.minimal.php.dist" döptes om till "connector.minimal.php" under biblioteksdistributionen och blev tillgÀnglig för körning nÀr externa förfrÄgningar skickades. Detta skript tillÄter att alla filoperationer (uppladdning, öppna, redigering, byte av namn, rm, etc.) utförs, eftersom dess parametrar skickas till run()-funktionen i huvudpluginet, som kan anvÀndas för att ersÀtta PHP-filer i WordPress och kör godtycklig kod.
Faran förvÀrras av det faktum att sÄrbarheten redan Àr att utföra automatiserade attacker, dÀr en bild som innehÄller PHP-kod laddas upp till katalogen "plugins/wp-file-manager/lib/files/" med hjÀlp av kommandot "upload", som sedan byter namn till ett PHP-skript, vars namn vÀljs slumpmÀssigt och innehÄller texten "hard" eller "x." (t.ex. hardfork.php, hardfind.php, x.php, etc.). NÀr PHP-koden startas lÀgger den till en bakdörr till filerna /wp-admin/admin-ajax.php och /wp-includes/user.php, vilket ger angripare tillgÄng till webbplatsens administratörsgrÀnssnitt. Utnyttjandet utförs genom att skicka en POST-begÀran till filen "wp-file-manager/lib/php/connector.minimal.php".
Det Àr vÀrt att notera att efter hackningen, förutom att lÀmna en bakdörr, görs Àndringar för att skydda ytterligare anrop till filen connector.minimal.php, som innehÄller sÄrbarheten, i syfte att blockera möjligheten att attackera servern av andra inkrÀktare.
De första attackförsöken upptÀcktes den 1 september klockan 7:XNUMX (UTC).
12:33 (UTC) Utvecklare av File Manager-pluginet har slÀppt en patch. Enligt Wordfence, företaget som upptÀckte sÄrbarheten, blockerade deras brandvÀgg cirka 450 tusen försök att utnyttja sÄrbarheten pÄ en dag. NÀtverksskanning visade att 52 % av webbplatserna som anvÀnder detta plugin Ànnu inte har uppdaterats och fortfarande Àr sÄrbara. Efter att ha installerat uppdateringen Àr det klokt att kontrollera http-serverloggen för anrop till skriptet "connector.minimal.php" för att avgöra om systemet har blivit komprometterat.
Dessutom kan en korrigerande utgÄva noteras. dÀr det föreslÄs .
KĂ€lla: opennet.ru
