Sa isang WordPress plugin na may higit sa 700 libong aktibong pag-install, isang kahinaan na nagbibigay-daan sa mga arbitrary na utos at mga script ng PHP na maisakatuparan sa server. Lumilitaw ang isyu sa File Manager na naglalabas ng 6.0 hanggang 6.8 at nalutas sa release 6.9.
Ang File Manager plugin ay nagbibigay ng mga tool sa pamamahala ng file para sa WordPress administrator, gamit ang kasamang library para sa mababang antas ng pagmamanipula ng file . Ang source code ng elFinder library ay naglalaman ng mga file na may mga halimbawa ng code, na ibinibigay sa gumaganang direktoryo na may extension na ".dist". Ang kahinaan ay sanhi ng katotohanan na noong ipinadala ang library, ang file na "connector.minimal.php.dist" ay pinalitan ng pangalan sa "connector.minimal.php" at naging available para sa pagpapatupad kapag nagpapadala ng mga panlabas na kahilingan. Ang tinukoy na script ay nagbibigay-daan sa iyo na magsagawa ng anumang mga operasyon na may mga file (upload, open, editor, rename, rm, atbp.), dahil ang mga parameter nito ay ipinapasa sa run() function ng pangunahing plugin, na maaaring magamit upang palitan ang mga PHP file. sa WordPress at magpatakbo ng arbitrary code.
Ang nagpapalala sa panganib ay ang kahinaan ay mayroon na upang magsagawa ng mga awtomatikong pag-atake, kung saan ang isang imahe na naglalaman ng PHP code ay ina-upload sa direktoryo ng "plugins/wp-file-manager/lib/files/" gamit ang command na "upload", na pagkatapos ay pinalitan ng pangalan sa isang PHP script na ang pangalan ay random na pinili at naglalaman ng text na "hard" o "x.", halimbawa, hardfork.php, hardfind.php, x.php, atbp.). Kapag naisakatuparan, ang PHP code ay nagdaragdag ng backdoor sa /wp-admin/admin-ajax.php at /wp-includes/user.php na mga file, na nagbibigay sa mga umaatake ng access sa interface ng administrator ng site. Ang operasyon ay isinasagawa sa pamamagitan ng pagpapadala ng POST na kahilingan sa file na βwp-file-manager/lib/php/connector.minimal.phpβ.
Kapansin-pansin na pagkatapos ng pag-hack, bilang karagdagan sa pag-alis sa backdoor, ang mga pagbabago ay ginawa upang maprotektahan ang mga karagdagang tawag sa connector.minimal.php file, na naglalaman ng kahinaan, upang harangan ang posibilidad ng iba pang mga umaatake na umatake sa server.
Ang mga unang pagtatangka sa pag-atake ay nakita noong Setyembre 1 sa 7 am (UTC). SA
12:33 (UTC) naglabas ng patch ang mga developer ng File Manager plugin. Ayon sa kumpanya ng Wordfence na kinilala ang kahinaan, hinarangan ng kanilang firewall ang humigit-kumulang 450 libong mga pagtatangka upang samantalahin ang kahinaan bawat araw. Ang isang pag-scan sa network ay nagpakita na 52% ng mga site na gumagamit ng plugin na ito ay hindi pa na-update at nananatiling mahina. Pagkatapos i-install ang update, makatuwirang tingnan ang log ng server ng http para sa mga tawag sa script na "connector.minimal.php" upang matukoy kung nakompromiso ang system.
Bukod pa rito, maaari mong tandaan ang corrective release na nagmungkahi .
Pinagmulan: opennet.ru