Felfedezés dátuma: 2011-05-04
Összefoglaló: A WordPress olyan ssebezhetősége vált ismertté, amelyet rosszindulatú felhasználók kihasználhatnak a ssebezhető rendszer feltörésére.
Leírás:
- Az alkalmazás nem megfelelően érvényesíti a feltöltött fájlokat, amely kihasználható tetszőleges PHP kód futtatására egy .phtml fájl feltöltésével, amely hozzáfűzött “.gif” kiterjesztéssel rendelkezik.
- A ssebezhetőség kihasználásához a backend-ben “Author” jogosultságok megléte szükséges és az Apache “.jpg” vagy “.gif” kiterjesztésű média fájlok kezelésének nem konfigurált állapota.
A ssebezhetőséget a 3.1.2. verzióban jelentették. Más verziók is érintettek lehetnek.
Megoldás:
- Korlátozza a hozzáférést a wp-content/uploads könyvtárra. (pl.: .htaccess alkalmazásával).
Érintett verziók:
- WordPress 3.x
- WordPress
Hatás
- Loss of confidentiality (Bizalmasság elvesztése)
- Loss of integrity (Sértetlenség elvesztése)
Biztonsági kockázat
- Mérsékelt
Szükséges hozzáférés
- Remote/Network (Távoli/hálózat)
Támadás típusa
- Hijacking (Visszaélés)
- Misconfiguration (Konfiguráció)
- WordPress Multiple Vulnerabilities
Érdekelheti még:
Hackertámadások, Kiberháború
A hacktivisták által szervezett hackertámadások végzetesek lehetnek a ...
A hacktivisták által szervezett hackertámadások végzetesek lehetnek a ...
WordPress yolink Search plugin v1.1.4
A WordPress yolink Search pluginnak két olyan sebezhetősége vált ismer...
A WordPress yolink Search pluginnak két olyan sebezhetősége vált ismer...
WordPress Link Library plugin v5.0.8.
A WordPress Link Library pluginnak két olyan sebezhetőségét fedezték f...
A WordPress Link Library pluginnak két olyan sebezhetőségét fedezték f...
WordPress Pixiv Custom Theme v2.1.5
A WordPress Pixiv Custom témájának olyan sebezhetőségét jelentették, a...
A WordPress Pixiv Custom témájának olyan sebezhetőségét jelentették, a...