Обнаруженная проблема связана с тем, что пользователь с доступом к редактору записей также может загружать и удалять изображения и превью для них. В итоге такой пользователь способен внедрить в WordPress произвольный вредоносный код и удалить критически важные для работы CMS файлы, которые в нормальных условиях должны быть доступны только администратору на сервере или через FTP.
Хотя устроить атаку на уязвимый ресурс может только пользователь, уже имеющий к нему доступ, эксперты RIPS предупреждают, что даже самых низких прав будет достаточно. В теории даже доступа уровня User достаточно для повышения привилегий и эксплуатации уязвимости.
В корне проблемы лежит тот факт, что злоумышленник может удалить файл wp-config.php. После этого он получает возможность повторно инициировать процесс установки, использовав при этом собственные установки и, например, принудив сайт распространять малварь или иной вредоносный контент. Видеодемонстрацию атаки можно увидеть ниже.
По данным RIPS, уязвимость представляет угрозу для всех версий CMS, включая наиболее свежую — WordPress 4.9.6.
Представители WordPress пока никак не прокомментировали отсутствие патча для нового бага. В связи с этим журналисты BleepingComputer обратились к специалистам Sucuri за «вторым мнением», и те подтвердили изданию, что все выводы в отчете RIPS обоснованы, и обнаруженная проблема действительно опасна.
Хотя официального исправления пока нет, разработчики RIPS выпустили собственный временный хотфикс, который приложен к отчету. Код специалистов нужно добавить к файлу functions.php.
Источник
Batafsil | Подробно | Read more... InfoCOM
Related News
Top News
-
Surxondaryoda qishloqqa kelib qolgan ayiq otib o‘ldirildi.
Yirtqich maktab hududiga kirib, o‘quvchilar hayotiga xavf tug‘dirgan. Shuningdek, ayiqni zararsizlantirish jarayonida u IIB xodimlaridan biriga...
-
Гвардиола "Ливерпул"нинг муваффақиятсизликлари сабабини айтди
"Манчестер Сити" бош мураббийи Пеп Гвардиола "Ливерпул"нинг мавсум якунидаги муваффақиятсизликларини тушунтирди.
-
«Реал Мадрид» Начо ўрнига футболчи танлади
Ҳаммаси 2023/2024 йилги мавсум якунида ҳимоячи Начонинг «Реал»ни тарк этиши томон кетмоқда.
-
Armiya ko‘rmagan mudofaa vaziri. Andrey Belousov haqida nimalar ma’lum?.
Xo‘sh, harbiy sohaga umuman aloqasi bo‘lmagan iqtisodchi nega Rossiya mudofaa vaziri bo‘ldi? Andrey Belousov kim o‘zi?.
-
"Арсенал" 2024/2025 йилги мавсум учун либосини тақдим этди
Англиянинг "Арсенал" клуби расмий сайтида жамоа 2024/2025 йилги мавсумда фойдаланадиган янги уй либосини тақдим этди.
-
Чемпионликдан сармаст "Реал" эртанги ўйин қайдномасини эълон қилди (фото)
"Реал Мадрид" Ла Лига 37-тури доирасида бўлиб ўтадишан "Алавес"га қарши матч учун қайдномасини эълон қилди.