Обнаруженная проблема связана с тем, что пользователь с доступом к редактору записей также может загружать и удалять изображения и превью для них. В итоге такой пользователь способен внедрить в WordPress произвольный вредоносный код и удалить критически важные для работы CMS файлы, которые в нормальных условиях должны быть доступны только администратору на сервере или через FTP.
Хотя устроить атаку на уязвимый ресурс может только пользователь, уже имеющий к нему доступ, эксперты RIPS предупреждают, что даже самых низких прав будет достаточно. В теории даже доступа уровня User достаточно для повышения привилегий и эксплуатации уязвимости.
В корне проблемы лежит тот факт, что злоумышленник может удалить файл wp-config.php. После этого он получает возможность повторно инициировать процесс установки, использовав при этом собственные установки и, например, принудив сайт распространять малварь или иной вредоносный контент. Видеодемонстрацию атаки можно увидеть ниже.
По данным RIPS, уязвимость представляет угрозу для всех версий CMS, включая наиболее свежую — WordPress 4.9.6.
Представители WordPress пока никак не прокомментировали отсутствие патча для нового бага. В связи с этим журналисты BleepingComputer обратились к специалистам Sucuri за «вторым мнением», и те подтвердили изданию, что все выводы в отчете RIPS обоснованы, и обнаруженная проблема действительно опасна.
Хотя официального исправления пока нет, разработчики RIPS выпустили собственный временный хотфикс, который приложен к отчету. Код специалистов нужно добавить к файлу functions.php.
Источник
Batafsil | Подробно | Read more... InfoCOM
Related News
Top News
-
Qozog‘istonda ichida O‘zbekiston fuqarolari bo‘lgan avtomobil yonib ketdi.
Ikki kishi shifoxonaga yotqizilgan..
-
Qashqadaryoda 350 ming xonadonning chiqindidan asossiz qarzdorligi bo‘yicha to‘lovlari qayta hisoblandi.
Qashqadaryoda yilning birinchi choragida 351 mingdan ortiq xonadondan chiqindi tashish bo‘yicha ko‘rsatilmagan xizmatlar uchun 15 mlrd so‘mdan...
-
Shimoliy Osetiyaga birinchi marta dronlar hujum qildi.
Shimoliy Osetiya rasmiylariga ko‘ra, dronlar Ukraina yo‘nalishidan kelgan. Dronlarning nishoni Mozdokdagi harbiy aerodrom bo‘lgan..
-
O‘zbekistonda 10 iyun kuni qanday ob-havo kutilayotgani ma’lum qilindi.
Janubiy hududlarda havo harorati 41 darajagacha ko‘tariladi..
-
Франция терма жамоаси Евро-2024 учун якуний таркибни эълон қилди
Франция терма жамоаси матбуот хизмати расмий сайтида 2024 йилги Европа чемпионати учун терма жамоанинг якуний таркибини эълон қилди.
-
Ўзбекистон U19 Хитой билан дуранг ўйнади (видео)
Хитойдаги халқаро турнирда иштирок этаётган Ўзбекистон ёшлар (U19) терма жамоаси кеча мусобақанинг 2-тури доирасида Хитойга қарши ўйинда майдонга...