Il sistema di gestione dei contenuti WordPress popolare è stato trovato per contenere una debolezza pericolosa permettendo attaccanti remoti di eseguire facilmente il codice a distanza. L'annuncio pubblico del bug dimostra che la vulnerabilità è esistita in passato 6 anni ed è molto probabile che i siti sono stati accede attraverso di essa. Fondamentalmente consente agli account con privilegi di eseguire codice utilizzando due vulnerabilità trovata con il motore principale.
CVE-2019-6977: L'ultima WordPress ha ammessi criminali di eseguire codice in modalità remota Per 6 Anni
https://www.youtube.com/watch?v=iWeRbsrjUOA
i proprietari del sito WordPress dovrebbero correggere immediatamente le proprie installazioni alla versione più recente disponibile (5.0.3) Per proteggersi da una vulnerabilità? pericoloso che è stato appena annunciato. L'annuncio pubblico è arrivato dalla squadra di sicurezza a RIPS Technologies GmbH che ha rivelato un bug pericoloso trovato all'interno del sistema di gestione dei contenuti. Esso consente in modo efficace hacker di sfruttare le installazioni on-line semplicemente avere un account con privilegi ridotti sul sito. Viene utilizzata per sfruttare due tipi distinti di errori - Path Traversal e Local Inclusion File quali sono trovato all'interno del nucleo del motore WordPress. Questo riguarda anche tutti i plugin che gestiscono in modo non corretto Messaggio meta valori.
Questo problema è piuttosto pericoloso in quanto i valori Messaggio Meta sono riferimenti interni ai file caricare nel server che sono anche registrati nei database di WordPress. L'indagine di sicurezza rivela le versioni di WordPress vulnerabili consentono di questo valore deve essere modificato usando l'iniezione di codice. Effettivamente questo significa che i criminali informatici hanno accesso al server web possono caricare contenuto modificato e sfruttare il sistema così. A advisory di sicurezza pubblica è stato assegnato per monitorare la questione con l'identificatore CVE-2019-6977. I suoi contenuti legge il seguente:
gdImageColorMatch in gd_color_match.c nella libreria grafica GD (aka libGD) 2.2.5, come usato nella funzione imagecolormatch in PHP prima 5.6.40, 7.x prima 7.1.26, 7.2.x prima 7.2.14, e 7.3.x prima 7.3.1, ha un buffer overflow heap. Questo può essere sfruttato da un attaccante che è in grado di innescare imagecolormatch chiamate con i dati di immagine artigianale.
L'ultima versione di WordPress fissa il Post Meta voci debolezza però il difetto Path Traversal può ancora essere sfruttata da un comportamento errato di un plugin di terze parti. Il team di sicurezza di WordPress affronterà la debolezza completo nella sua prossima release. Fino ad allora tutti i proprietari del sito sono invitati ad applicare tutti gli aggiornamenti di sicurezza disponibili - sia per il motore di base e tutti i plugin e temi.