Критическая уязвимость в WordPress-плагине File Manager!
Страницы: 1
Критическая уязвимость в WordPress-плагине File Manager!
Цитата
Рисунок

В WordPress-плагине File Manager, насчитывающем более 700 тысяч активных установок, выявлена уязвимость,
позволяющая запускать произвольные команды и PHP-скрипты на сервере. Проблема проявляется в выпусках File Manager
с 6.0 по 6.8 и устранена в выпуске 6.9.

Плагин File Manager предоставляет инструменты для управления файлами для администратора WordPress, используя
для низкоуровневых манипуляций с файлами входящую в состав библиотеку elFinder. В исходном коде библиотеки elFinder
присутствуют файлы с примерами кода, которые поставляются в рабочем каталоге с расширением ".dist". Уязвимость вызвана
тем, что при поставке библиотеки файл "connector.minimal.php.dist" был переименован в "connector.minimal.php" и стал
доступен для выполнения при отправке внешних запросов. Указанный скрипт позволяет выполнить любые операции с
файлами (upload, open, editor, rename, rm и т.п.), так как его параметры передаются в функцию run() основного
плагина, что может использоваться для замены PHP-файлов в WordPress и запуска произвольного кода.

Если Вы используете такой плагин на Вашем Wordpress сайте, рекомендуем незамедлительно его обновить или удалить вообще.
Если Вы стали жертвой взлома через этот плагин, то обратитесь в нашу техническую поддержку для оказания помощи в
восстановлении сайта и удалении проблемного плагина.

Напоминаем, что безопасность сайтов Ваших зависит исключительно от Вас. Всегда и своевременно обновляйте CMS и все
плагины, которые используете. Именно эти действия защитят Вас от взломов и проблем, которые они сопровождают.

Источник: https://www.cy-pr.com/forum/f23/t94662/m1193727#message1193727

Бесплатная контекстная реклама

Никогда и не пользовался таким...smile:)
Файлменеджер хоста или фтп вполне утраивает
Цитата
Prapovednik пишет:
был переименован в "connector.minimal.php" и стал
доступен для выполнения при отправке внешних запросов. Указанный скрипт позволяет выполнить любые операции с
файлами (upload, open, editor, rename, rm и т.п.), так как его параметры передаются в функцию run() основного
плагина, что может использоваться для замены PHP-файлов в WordPress и запуска произвольного кода.
Это очень мало похоже на ошибку программиста, скорее - умышленное вредительство. Потому что ошибиться настолько разработчик может случайно с той же вероятностью, с какой обычный вменяемый человек забудет надеть штаны перед выходом на улицу.
Он занят игрой,
И каждый второй,
Да каждый второй замедляет свой шаг.
Но только не я,
Я весел и пьян,
Я только сейчас начинаю дышать.

Минуту еще, мой ветер не стих,
Мне нравится здесь в Королевстве Кривых.
Страницы: 1
Читают тему (гостей: 1, пользователей: 0, из них скрытых: 0)
Новые темыОбъявленияСвободное общение
19:03 РСЯ ужесточает приём сайтов? 
17:55 Сервис Proflincs 
17:44 29 ноября 2020 Яндекс выдача | А вы готовы к новогоднему трафику? 
17:44 30 ноября 2020 Яндекс выдача 
17:43 Обман пользователей мобильного интернета 
17:41 Универсальная защита от xss-атак и sql-инъекций 
17:39 Сайт слетел с топ 10 HELP 
18:17 Продать выгодно BTC, Ethereum, USDT только у нас! 
16:49 BestChange – обменивать электронную валюту можно быстро и выгодно 
16:17 Комплексный прогон сайтов, нет каталогов от shtaketo, хороший рост позиций + Тиц 30 - 100 
15:30 Накрутка отзывов и вывод в топ на Яндекс.Картах 
15:15 ChangeInfo - Лучший мониторинг обменников СНГ 
14:51 Bitpapa.com - криптовалютный P2P-маркетплейс для безопасных сделок 
12:55 Пассивный доход с Kursov24.com 
19:52 Чёрная пятница – скидка 50% на всё 
19:45 У нас будет свой Ютуб 
19:02 Leadgid — международная финансовая партнерская CPA сеть 
18:34 [b]Webvork [/b]- международная товарная СРА сеть с сертифицированными офферами на Европу. 
17:29 Profit Pixels - In-House Форекс, Крипто, Трейдинг CPA Офферы | Еженедельные Выплаты | CPA до $950 
13:33 Пассивный доход с Bitality.cc 
21:09 Продаю крупные аккаунты в Инстаграме (дешево)