Casa > Cyber ​​Notizie > Il bug di sicurezza di WordPress di 7 mesi rimane senza patch
CYBER NEWS

7-Mesi WordPress Security bug rimane senza patch

WordPress Sicurezza

Un nuovo bug di sicurezza di WordPress è stata riportata da specialisti che colpisce una grande percentuale dei siti in tutto il mondo. Questa è una delle piattaforme più popolari e la scoperta della vulnerabilità dà hacker la possibilità di eseguire codice arbitrario. La relazione iniziale è stata presentata 7 mesi fa per team di sicurezza della piattaforma tuttavia rimane ancora senza patch. Tutte le versioni di WordPress sono colpiti.

Dettagli circa il Bug Nuovo WordPress sicurezza

Il rapporto iniziale di sicurezza è stato presentato al team di WordPress 7 mesi fa. Poiché non hanno ancora patchato i problemi tutti i siti sono vulnerabili, compresi quelli in esecuzione la versione più recente 4.9.6. Affinché gli hacker per essere in grado di intromettersi nei siti di destinazione di cui avranno bisogno per ottenere i privilegi di modificare o eliminare i file multimediali. Questo consente agli hacker di assumere qualsiasi sito fintanto che hanno un account registrato con un ruolo a partire da Autore. Gli hacker possono anche inserirsi nei siti utilizzando altri exploit. Non appena gli hacker ottenere l'accesso ai sistemi ed eseguire la vulnerabilità essi saranno in grado di eliminare qualsiasi file che è parte dell'installazione di WordPress. Qualsiasi altro file disponibili sul server del sito che hanno le stesse autorizzazioni è anche vulnerabile.

Gli hacker possono di conseguenza cancellare l'intera installazione di WordPress. Questo può rendere il sito in grado di funzionare, specialmente se gli amministratori di sistema non sono attivare backup automatici. Gli hacker possono anche scegliere di eliminare alcuni file e sostituirli con altri casi pericolosi. Questo permette loro di eseguire codice arbitrario. Particolare attenzione deve essere data alla modifica dei seguenti file:

  • .htaccesss - In eliminazione generale di questo particolare file di per sé non è definito come un rischio per la sicurezza. Tuttavia se contiene esplicitamente istruzioni per bloccare determinate cartelle, tali azioni disattivare i vincoli protettivi.
  • file index.php - In molti casi index.php dovrebbero essere inseriti in al fine di evitare che gli elenchi di directory. L'eliminazione di questi file renderà possibile per gli aggressori di accedere a tutti i file in queste directory.
  • wp-config.php - Eliminazione o modifica di questo file porterà al lancio del processo di installazione iniziale. Gli hacker possono utilizzare questo per immettere le credenziali di falsi che collegano le proprie basi di dati che falsificare l'intera installazione e consentire loro di prendere completamente il sito.




La causa esatta della vulnerabilità è la lavorazione impropria di parametri utente. Questo è legato al modo PHP è gestita dal nucleo motore WordPress.

Story correlati: Encrypted GZipDe Malware Distribuisce Metasploit Backdoor

Il Bug Nuovo WordPress sicurezza possa essere corretto con una soluzione temporanea

Il fatto che il bug di sicurezza di WordPress rimane senza patch dal team di sviluppo a partire dal momento della stesura di questo articolo mostra che v'è un vero e proprio rischio di intrusione di tutti i siti. Ciò ha spinto i ricercatori di sicurezza che ha scoperto la vulnerabilità di emettere una correzione temporanea. Gli amministratori del sito saranno definite per aggiungere codice aggiuntivo per la functions.php fil del tema attualmente attivo:

add_filter( ‘Wp_update_attachment_metadata’, ‘rips_unlink_tempfix’ );

funzione rips_unlink_tempfix( $dati ) {
se( è impostato($dati['pollice']) ) {
$dati['pollice'] = basename($dati['pollice']);
}

return $ dati;
}

Per un'analisi dettagliata della vulnerabilità leggere il rapporto originale qui.

Martin Beltov

Martin si è laureato con una laurea in Pubblicazione da Università di Sofia. Come un appassionato di sicurezza informatica si diletta a scrivere sulle ultime minacce e meccanismi di intrusione.

Altri messaggi

Seguimi:
Cinguettio

Lascio un commento

Il tuo indirizzo email non verrà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito utilizza i cookie per migliorare l'esperienza dell'utente. Utilizzando il nostro sito web acconsenti a tutti i cookie in conformità con la ns politica sulla riservatezza.
Sono d'accordo