El sistema de gestión de contenido popular WordPress se ha encontrado que contienen una peligrosa debilidad que permite a atacantes remotos ejecutar fácilmente remota de código. El anuncio público del insecto muestra que la vulnerabilidad ha existido en el pasado 6 años y es muy posible que los sitios que se haya accedido a través de él. Básicamente se permite que las cuentas con privilegios bajos ejecutar código utilizando dos vulnerabilidad encontrado con el motor principal.
CVE-2019-6977: La última WordPress ha permitido a los criminales para ejecutar código remoto Para 6 Años
propietarios de sitios de WordPress deben parche inmediatamente sus instalaciones a la última versión disponible (5.0.3) con el fin de protegerse de una vulnerabilidad de ejecución remota de código peligroso que acaba de ser anunciado. El anuncio público entró por el equipo de seguridad en RIPS Technologies GmbH que reveló un error peligroso que se encuentra dentro del sistema de gestión de contenidos. Es efectivamente permitiría a los piratas informáticos para explotar las instalaciones en línea mero hecho de tener una cuenta con pocos privilegios en el sitio. Se utiliza para explotar dos tipos de errores distintas - Transversal ruta y Inclusión de archivos locales que son encontrado dentro del motor de núcleo WordPress. Este También afecta a los plugins que manejan de forma incorrecta Mensaje meta valores.
Este problema es bastante peligroso ya que los valores post Meta son referencias internas a cargar archivos en el servidor que también están registradas en las bases de datos de WordPress. La investigación de seguridad revela las versiones de WordPress vulnerables permiten este valor a ser modificado mediante el uso de la inyección de código. En efecto, esto significa que los delincuentes informáticos que tenga acceso al servidor web puede cargar contenido modificado y así explotar el sistema de. Un aviso de seguridad pública ha sido asignado a un seguimiento de la cuestión con el identificador CVE-2.019-6.977. Su contenido se lee la siguiente:
gdImageColorMatch en gd_color_match.c en la biblioteca de gráficos GD (aka LibGD) 2.2.5, tal como se utiliza en la función imagecolormatch en PHP antes 5.6.40, 7.x antes 7.1.26, 7.2.x antes 7.2.14, y 7.3.x antes 7.3.1, tiene un desbordamiento de búfer. Esto puede ser explotado por un atacante que es capaz de desencadenar imagecolormatch llamadas con datos de imagen manipulada.
La última versión del WordPress corrige el Post Meta entradas debilidad sin embargo, el fallo de traspaso de rutas todavía puede ser explotado por un comportamiento incorrecto de los plugins de terceros. El equipo de seguridad de WordPress se dirigirá a la debilidad completa en su próxima versión. Hasta entonces se insta a todos los propietarios del sitio para aplicar todas las actualizaciones de seguridad disponibles - ambos al motor principal y todos los plugins y temas.
Martin Beltov
Martin se graduó con un título en Edición de la Universidad de Sofía. Como un entusiasta de la seguridad cibernética que le gusta escribir sobre las últimas amenazas y mecanismos de intrusión.
Sígueme: