Исследователи безопасности толчея сегодня объявили о бреше в безопасности WordPress, одной из самых популярных систем управления контентом (CMS). Исследователи говорят, что они информировали команду WordPress с ноября о 2017, но разработчики WordPress пока не сделали никаких обновлений.
Уязвимость затрагивает ядро WordPress, а не один из его плагинов. В частности, ошибка заключается в функции php, которая удаляет миниатюры из изображений, загруженных на сайт.
Исследователи обнаружили, что пользователи, которые имеют доступ к редактору статей и могут загружать и удалять изображения (вместе со своими миниатюрами), могут импортировать вредоносный код на сайт и удалять критические файлы, без чего не обойтись. доступ к FTP сервер.
Размер уязвимости достаточно ограничен, поскольку не все пользователи имеют доступ к редактору. Однако, используя вредоносный код, можно удалить файл wp-login.php, который является файлом конфигурации сайта. После удаления любой может повторно запустить процесс установки, заблокировав менеджеров извне. Таким образом, злоумышленник может «украсть» весь сайт и стать администратором, позволяя ему публиковать вредоносный контент, перенаправлять пользователей на другой сайт или полностью удалять сайт. Вот подробное видео от самой группы, которое выполняет весь процесс менее чем за 1 минуту.
Насколько полезным был этот пост?
Пока нет голосов! Будьте первым, кто оценит этот пост.
Автор позволяет вам копировать его / ее текст, только если вы сообщите источник (SecNews.gr), как адрес электронной почты (Живой URL) статьи.
Обновление by
Поддерживает поддержку Windows 7 на старых процессорах из-за ошибки
Greek
Arabic
Chinese (Simplified)
English
French
German
Italian
Russian
Политика комментариев:
SecNews.gr не сразу публикует комментарии. Вредоносные комментарии, комментарии с рекламой или комментарии с оскорблениями удаляются без предупреждения. Мы не поддерживаем взгляды наших читателей.