I ett WordPress-plugin med mer än 700 tusen aktiva installationer, en sårbarhet som gör att godtyckliga kommandon och PHP-skript kan köras på servern. Problemet dyker upp i filhanteraren version 6.0 till 6.8 och är löst i version 6.9.
Filhanterarens plugin tillhandahåller filhanteringsverktyg för WordPress-administratören, med hjälp av det medföljande biblioteket för filmanipulering på låg nivå . Källkoden för elFinder-biblioteket innehåller filer med kodexempel, som tillhandahålls i arbetskatalogen med tillägget ".dist". Sårbarheten orsakas av det faktum att när biblioteket skickades döptes filen "connector.minimal.php.dist" om till "connector.minimal.php" och blev tillgänglig för exekvering när externa förfrågningar skickades. Det angivna skriptet låter dig utföra alla operationer med filer (ladda upp, öppna, redigera, byta namn, rm, etc.), eftersom dess parametrar skickas till funktionen run() för huvudplugin, som kan användas för att ersätta PHP-filer i WordPress och kör godtycklig kod.
Det som gör faran värre är att sårbarheten redan finns för att utföra automatiserade attacker, under vilka en bild som innehåller PHP-kod laddas upp till katalogen "plugins/wp-file-manager/lib/files/" med hjälp av kommandot "upload", som sedan döps om till ett PHP-skript vars namn är vald slumpmässigt och innehåller texten "hårt" eller "x", till exempel hardfork.php, hardfind.php, x.php, etc.). När PHP-koden har körts lägger den till en bakdörr till filerna /wp-admin/admin-ajax.php och /wp-includes/user.php, vilket ger angripare åtkomst till webbplatsens administratörsgränssnitt. Operationen utförs genom att skicka en POST-förfrågan till filen "wp-file-manager/lib/php/connector.minimal.php".
Det är anmärkningsvärt att efter hacket, förutom att lämna bakdörren, görs ändringar för att skydda ytterligare anrop till filen connector.minimal.php, som innehåller sårbarheten, för att blockera möjligheten att andra angripare attackerar servern.
De första attackförsöken upptäcktes den 1 september klockan 7 (UTC). I
12:33 (UTC) utvecklarna av filhanterarens plugin har släppt en patch. Enligt Wordfence-företaget som identifierade sårbarheten blockerade deras brandvägg cirka 450 tusen försök att utnyttja sårbarheten per dag. En nätverksskanning visade att 52 % av webbplatserna som använder detta plugin ännu inte har uppdaterats och förblir sårbara. Efter installation av uppdateringen är det vettigt att kontrollera http-serverloggen efter anrop till skriptet "connector.minimal.php" för att avgöra om systemet har äventyrats.
Dessutom kan du notera den korrigerande versionen som föreslog .
Källa: opennet.ru