Критическая уязвимость в WordPress-плагине File Manager!
Страницы: 1
Критическая уязвимость в WordPress-плагине File Manager!
Цитата
Рисунок

В WordPress-плагине File Manager, насчитывающем более 700 тысяч активных установок, выявлена уязвимость,
позволяющая запускать произвольные команды и PHP-скрипты на сервере. Проблема проявляется в выпусках File Manager
с 6.0 по 6.8 и устранена в выпуске 6.9.

Плагин File Manager предоставляет инструменты для управления файлами для администратора WordPress, используя
для низкоуровневых манипуляций с файлами входящую в состав библиотеку elFinder. В исходном коде библиотеки elFinder
присутствуют файлы с примерами кода, которые поставляются в рабочем каталоге с расширением ".dist". Уязвимость вызвана
тем, что при поставке библиотеки файл "connector.minimal.php.dist" был переименован в "connector.minimal.php" и стал
доступен для выполнения при отправке внешних запросов. Указанный скрипт позволяет выполнить любые операции с
файлами (upload, open, editor, rename, rm и т.п.), так как его параметры передаются в функцию run() основного
плагина, что может использоваться для замены PHP-файлов в WordPress и запуска произвольного кода.

Если Вы используете такой плагин на Вашем Wordpress сайте, рекомендуем незамедлительно его обновить или удалить вообще.
Если Вы стали жертвой взлома через этот плагин, то обратитесь в нашу техническую поддержку для оказания помощи в
восстановлении сайта и удалении проблемного плагина.

Напоминаем, что безопасность сайтов Ваших зависит исключительно от Вас. Всегда и своевременно обновляйте CMS и все
плагины, которые используете. Именно эти действия защитят Вас от взломов и проблем, которые они сопровождают.

Источник: https://www.cy-pr.com/forum/f23/t94662/m1193727#message1193727

Бесплатная контекстная реклама

Никогда и не пользовался таким...smile:)
Файлменеджер хоста или фтп вполне утраивает
Цитата
Prapovednik пишет:
был переименован в "connector.minimal.php" и стал
доступен для выполнения при отправке внешних запросов. Указанный скрипт позволяет выполнить любые операции с
файлами (upload, open, editor, rename, rm и т.п.), так как его параметры передаются в функцию run() основного
плагина, что может использоваться для замены PHP-файлов в WordPress и запуска произвольного кода.
Это очень мало похоже на ошибку программиста, скорее - умышленное вредительство. Потому что ошибиться настолько разработчик может случайно с той же вероятностью, с какой обычный вменяемый человек забудет надеть штаны перед выходом на улицу.
Мы не можем похвастаться мудростью глаз
И умелыми жестами рук,
Нам не нужно все это, чтобы друг друга понять.
Сигареты в руках, чай на столе - так замыкается круг,
И вдруг нам становится страшно что-то менять.
Страницы: 1
Читают тему (гостей: 1, пользователей: 0, из них скрытых: 0)
Новые темыОбъявленияСвободное общение
23:17 Зарабатывай до 50% за сейл с партнерской программой EssayPro! 
19:50 [b]Webvork [/b]- международная товарная СРА сеть с сертифицированными офферами на Европу. 
19:17 Букварикс: бесплатная программа для быстрого поиска ключевых слов 
16:42 CPA Kitchen - Глобальная Гемблинг Партнерка | Смартлинка, Ротатор, Постбеки | Офферы под все ГЕО 
15:21 Adtrafico - Правильная партнёрская сеть под бурж трафик 
15:09 Golden Goose - WAP Click партнерка с inhouse офферами 
09:14 WebVisitor - улучшение и накрутка поведенческих факторов ранжирования вашего сайта. 
20:43 ProxyWhite.com - анонимные индивидуальные прокси 
10:25 Современный скрипт обменника электронных валют 
09:31 BTCSale - современный криптовалютный обменник! 
05:51 Во сколько оцените сайт 
01:04 CeshEX - Платформа автоматического обмена 
23:02 Litex.pro обмен валюты с минимальной комиссией 
22:23 Продам сайт финансовой тематики 
08:25 3$ бездепозитный бонус от форекс брокера 
23:43 Правильное питание а какое оно? 
22:46 Alfaleads - твоя любимая CPA-сеть! 
20:46 Мошенница Ксения Гущина ksugushinak8@gmail.com ks.guschina@gmail.com ksygushinak 8 911 855 60 37 
10:59 Кто работал с данной биржей proflinks? 
09:18 likeboss.biz - накрутка в соцсетях. С гарантией. 
21:17 С помощью антивируса Norton 360 теперь можно добывать Ethereum