网安 - 专业的网络安全产业、社区、知识平台

WordPress 文件管理器插件爆严重 0day 漏洞

X0_0X2020-09-03 14:01:48

研究人员周二说,黑客正在积极利用一个漏洞,该漏洞使他们能够在运行File Manager的网站上执行命令和恶意脚本,File Manager是一个WordPress插件,活跃安装量超过700,000。在修补了安全漏洞几小时后,发出了攻击的消息。

攻击者正在利用此漏洞上传包含隐藏在映像中的Web Shell的文件。从那里,他们有一个方便的界面,使他们可以在plugins / wp-file-manager / lib / files /(文件管理器插件所在的目录)中运行命令。虽然该限制阻止了黑客在目录之外的文件上执行命令,但黑客可以通过上载脚本来对遭受破坏的站点的其他部分执行操作,从而造成更大的损失。

当安全人员随时随地进行调查时,很快发现WordPress插件WP File Manager中存在一个严重的0day安全漏洞,攻击者可以在安装了此插件的任何WordPress网站上任意上传文件并远程执行代码。攻击者可能会做任何他们选择采取的行动–窃取私人数据,破坏站点或使用该网站对其他站点或基础结构进行进一步的攻击。

据我们所知,普通的WP File Manager和WP File Manager Pro版本均受到影响。该插件有超过700k的活动安装,因此在最受欢迎的WordPress插件列表中排名很高,因此许多站点都受到了影响。

当天发布了安全更新

幸运的是,该插件正在积极开发中,并且数小时内发布了6.9版的安全更新。我们紧急建议所有人使用最新WP File Manager 6.9以下的版本更新至最新版本或卸载插件(停用插件不足以防止此漏洞)。

从9月2日开始,这是WP File Manager活动安装的版本分发:

安全性研究

由于最初是一个零日漏洞,这意味着没有已知的修复程序,我们进行了一些调查研究以发现攻击者对网站的破坏。

在被破坏的站点上查看http流量日志时,我们立即注意到可能的访问点:

<REDACTED-VHOST> 185.222.57.183 - - [31/Aug/2020:23:34:12 +0300] "POST //wp-content/plugins/wp-file-manager/lib/php/connector.minimal.php HTTP/1.1" 200 1085 "-" "python-requests/2.24.0" - "" 0.073

然后,我们从WP File Manager文件lib / php /connector.minimal.php开始浏览代码库,并注意到该文件在访问时执行了一些代码:

[...]is_readable('./vendor/autoload.php') && require './vendor/autoload.php';[...]// // elFinder autoloadrequire './autoload.php';[...]// run elFinder$connector = new elFinderConnector(new elFinder($opts));$connector->run();

这段代码来自elFinder项目,这是一个向Web应用程序提供文件浏览器GUI的框架。这个非常具体的代码仅作为示例,而不能在生产应用程序中直接使用。但是,正如我们所看到的,使用了它,结果是可以执行这部分代码而无需进行身份验证。

我们将该漏洞报告给了插件作者,WordPress插件存储库以及WP漏洞数据库。该修复程序已在同一天发布,并且WP File Manager插件6.9版通过删除允许未经授权的文件上传访问的端点来解决当前问题。

给WordPress网站所有者的安全建议

如果您在线拥有网站(无论是否拥有WordPress),都需要认真考虑安全性。即使您认为自己的网站没有什么重要的内容,攻击者也可以使用它在其他网站上发动攻击,并使您承担部分责任。

多年以来,基本的安全建议是相同的:

  • 定期进行更新,并快速进行安全更新。

  • 每天自动进行备份。无论您的站点遭受什么不幸,备份都可以节省一天的时间,因为它可以使您还原该站点的纯净功能版本。

  • 使用某种监视服务来检测站点是否关闭,以便可以快速将其重新启动。有许多廉价的在线服务可以单独提供监视和电子邮件警报。

  • 遵循良好的密码卫生习惯,以便不太容易猜测它们,并且其他站点泄漏的密码也不能重新用于在WordPress站点上获得输入。

  • 使用HTTPS。它应该在2020年成为标准,但并非所有人都使用。如果可以通过网络窃听登录凭据,则任何安全保护都将无效。通过选择良好的服务提供商,HTTPS的使用将包括在内,而无需支付任何额外费用,并且默认情况下处于启用状态。好的WordPress提供程序通常还提供许多其他附加的安全功能。

该安全漏洞存在于文件管理器版本,范围从6.0到6.8。WordPress的统计数据表明,目前约有52%的安装易受攻击。由于File Manager的700,000个站点中已安装的漏洞中有一半以上,因此损坏的可能性很高。运行任何这些版本的网站都应尽快更新到6.9。

信息安全wordpress
本作品采用《CC 协议》,转载必须注明作者和本文链接
WordPress 社交登录插件曝出漏洞,用户账户信息遭泄露
2023-07-03 08:58:24
据悉,漏洞被追踪为 CVE-2023-2982,身份验证绕过漏洞影响包括 7.6.4 之前在内的所有插件版本。2023 年 6 月 2 日,相关组织负责任地发布了 7.6.5 版本,CVE-2023-2982 漏洞问题已于 2023 年 6 月 14 日得到解决。Wordfence 研究员 István Márton 表示 CVE-2023-2982 漏洞使未经身份认证的网络攻击者有可能获得对网站上任何账户的访问权,甚至包括用于管理网站的账户,但前提是攻击者知道或能够找到相关的电子邮件地址。好消息是,漏洞已于 2023 年 6 月 6 日发布的 4.6.0.1 版本中完成了修补。
信息安全漏洞月报(2021年9月)
2021-10-13 15:31:13
漏洞态势根据国家信息安全漏洞库(CNNVD)统计,2021年9月份采集安全漏洞共1704个。本月接报漏洞17
2021年8月信息安全漏洞月报
2021-09-06 15:20:39
根据国家信息安全漏洞库统计,2021年8月份采集安全漏洞共1911个。合计1633个漏洞已有修复补丁发布,本月整体修复率85.45%。截至2021年08月31日,CNNVD采集漏洞总量已达167566个。总体来看,本月整体修复率,由上月的88.29%下降至本月的85.45%。
GoDaddy 泄露 120 万 WordPress 客户数据
2021-11-23 10:17:15
多达 120 万 WordPress 客户的数据已在 GoDaddy的安全事件中暴露。
CNNVD:信息安全漏洞周报(2021年第38期)
2021-09-30 12:48:54
公开漏洞情况 本周CNNVD采集安全漏洞427个。本周国内厂商漏洞9个,友讯公司漏洞数量最多,有5个。本周共发布超危漏洞16个,高危漏洞144个,中危漏洞255个,低危漏洞12个。根据补丁信息统计,合计412个漏洞已有修复补丁发布,整体修复率为96.49%。目前,VMware官方已经发布漏洞修复补丁,建议用户及时确认是否受到漏洞影响,尽快采取修补措施。
用户账户信息遭泄露!WordPress 社交登录插件曝出漏洞
2023-07-03 09:10:05
据悉,漏洞被追踪为 CVE-2023-2982,身份验证绕过漏洞影响包括 7.6.4 之前在内的所有插件版本。2023 年 6 月 2 日,相关组织负责任地发布了 7.6.5 版本,CVE-2023-2982 漏洞问题已于 2023 年 6 月 14 日得到解决。
GoDaddy数据泄露影响120万WordPress站长
2021-11-23 11:57:12
世界上最大的域名注册商之一,网络注册商和托管公司GoDaddy周一向美国证券交易委员会(SEC)提交了一份文件,显示该公司多达120万个托管WordPress客户的数据已被未经授权的第三方访问。
CNVD漏洞周报2022年第32期
2022-08-15 14:28:40
国家信息安全漏洞共享平台本周共收集、整理信息安全漏洞548个,其中高危漏洞158个、中危漏洞300个、低危漏洞90个。本周CNVD接到的涉及党政机关和企事业单位的事件型漏洞总数5952个,与上周环比减少12%。本周,CNVD发布了《Microsoft发布2022年8月安全更新》。详情参见CNVD网站公告内容。
德国BSI机构建议更换卡巴斯基杀毒软件
2022-03-18 13:14:46
近期,德国联邦信息安全办公室(BSI)建议用户卸载卡巴斯基反病毒软件,因为他们发现这家网络安全公司可能与俄罗斯持续入侵乌克兰期间的黑客攻击有关。
CNVD漏洞周报2021年第37期
2021-09-22 17:49:43
2021年9月13日-2021年9月19日 本周漏洞态势研判情况本周信息安全漏洞威胁整体评价级别为中。
X0_0X
暂无描述