– Honlapkészítés, keresőoptimalizálás

WordPress 3.1.2

Felfedezés dátuma: 2011-05-04

Összefoglaló: A WordPress olyan ssebezhetősége vált ismertté, amelyet rosszindulatú felhasználók kihasználhatnak a ssebezhető rendszer feltörésére.

Leírás:

  • Az alkalmazás nem megfelelően érvényesíti a feltöltött fájlokat, amely kihasználható tetszőleges PHP kód futtatására egy .phtml fájl feltöltésével, amely hozzáfűzött “.gif” kiterjesztéssel rendelkezik.
  • A ssebezhetőség kihasználásához a backend-ben “Author” jogosultságok megléte szükséges és az Apache “.jpg” vagy “.gif” kiterjesztésű média fájlok kezelésének nem konfigurált állapota.

A ssebezhetőséget a 3.1.2. verzióban jelentették. Más verziók is érintettek lehetnek.

Megoldás:

  • Korlátozza a hozzáférést a wp-content/uploads könyvtárra. (pl.: .htaccess alkalmazásával).

Érintett verziók:

  • WordPress 3.x

Érintett rendszerekWordPress

  • WordPress

Hatás

  • Loss of confidentiality (Bizalmasság elvesztése)
  • Loss of integrity (Sértetlenség elvesztése)

Biztonsági kockázat

  • Mérsékelt

Szükséges hozzáférés

  • Remote/Network (Távoli/hálózat)

Támadás típusa

  • Hijacking (Visszaélés)
  • Misconfiguration (Konfiguráció)

Secunia Advisory SA44409

  • WordPress Multiple Vulnerabilities

Érdekelheti még:

Kövess minket!
  • Kiemelt partner