Das beliebte Content Management System Wordpress ist eine gefährliche Schwäche erlaubt es entfernte Angreifer enthält gefunden leicht Remote Code ausführen. Die öffentliche Bekanntmachung des Fehlers zeigt, dass die Schwachstelle in der Vergangenheit bestanden hat 6 Jahren und es ist sehr gut möglich, dass Websites durch sie zugegriffen wurde. Im Grunde ist es erlaubt mit wenigen Berechtigungen Konten Code unter Verwendung von zwei Verletzlichkeit mit der Hauptmaschine gefunden auszuführen.
CVE-2019-6977: Die neueste Wordpress hat Criminals erlaubt Remote-Code ausführen Für 6 Jahre
Wordpress-Website-Besitzer sollten unverzüglich ihre Installationen auf die neueste verfügbare Version patchen (5.0.3) um sich von einer gefährlichen Remotecodeausführung ermöglichen zu schützen, die nur angekündigt wurden. Die öffentliche Ankündigung kam aus dem Sicherheitsteam in an RIPS Technologies GmbH die enthüllt einen gefährlichen Fehler innerhalb des Content-Management-System gefunden. Es ermöglicht effektiv Computer-Hacker, indem lediglich mit einem geringen privilegierten Konto auf der Website der Online-Installationen zu nutzen. Es wird verwendet, um zwei verschiedene Fehler-Typen zu nutzen - Path-Traversal und Local File Inclusion welche sind innerhalb des Wordpress-Core-Engine gefunden. Dies wirkt sich auch auf alle Plugins, die nicht richtig behandeln Post meta Werte.
Dieses Problem ist ziemlich gefährlich, da die Pfosten Meta-Werte sind interne Verweise auf Dateien auf dem Server hochladen, die sie auch in den Wordpress-Datenbanken aufgezeichnet. Die Sicherheits Untersuchung zeigt die anfälligen Wordpress-Versionen für diesen Wert zulassen, indem Sie Code-Injektion modifiziert werden. Effektiv bedeutet dies, dass Computer-Kriminelle Zugriff auf den Web-Server aufweisen, können modifiziert Inhalt laden und damit das System auszunutzen. Ein öffentlicher Sicherheitshinweis wurde das Problem mit der CVE-2019-6977 Kennung verfolgen zugewiesen. Sein Inhalt liest die folgende:
gdImageColorMatch in gd_color_match.c in der GD Graphics Library (aka LibGD) 2.2.5, wie in der imagecolormatch Funktion in PHP verwendet, bevor 5.6.40, 7.x vor 7.1.26, 7.2.x vor 7.2.14, und 7.3.x vor 7.3.1, hat einen heap-basierten Pufferüberlauf. Dies kann von einem Angreifer ausgenutzt werden, die in der Lage ist imagecolormatch auslösen ruft mit gearbeiteten Bilddaten.
Die neueste Version der Wordpress behebt den Beitrag Meta Einträge Schwäche jedoch die Path-Traversal-Fehler immer noch durch falsches Verhalten aller Plugins von Drittanbietern genutzt werden können. Das Wordpress-Sicherheitsteam wird die vollständige Schwäche in seiner nächsten Version Adresse. Bis dahin werden alle Website-Betreiber aufgefordert, alle verfügbaren Sicherheitsupdates anwenden - beide mit dem Core-Engine und alle Plugins und Themes.
Martin Beltov
Martin hat einen Abschluss in Publishing von der Universität Sofia. er schreibt gerne über die neuesten Bedrohungen und Mechanismen des Eindringens Als Cyber-Security-Enthusiasten.
Folge mir: