Parancsinjekcióval kapcsolatos biztonsági rés a WordPress Plainview Activity Monitor v20161228 és a Prior programban

WordPress

Parancs-injektálási sebezhetőséget találtak a neves személyes blogolás és weboldalkészítés-kezelő platformban: WordPress. A biztonsági rés a Plainview Activity Monitor WordPress Plugin összetevőjében található, és a CVE-2018-15877 CVE azonosítót kapott hozzá.

A WordPress Plainview Activity Monitor beépülő moduljában talált parancsinjekciós sebezhetőség komoly veszélyt jelent egy távoli támadó számára, aki messziről hajt végre parancsokat egy feltört rendszeren. Az injektált rosszindulatú parancsok alkalmatlan adatokat dobnak a szolgáltatás adatfolyamába, különösen az IP-paraméteren keresztül és az activities_overview.php fájlba.

Ez a parancsinjekció biztonsági rése az említett összetevőben önmagában nem távolról kihasználható. Sajnos a WordPress ugyanazon összetevő pluginja két másik sebezhetőségben szenved: egy CSRF támadási és egy tükröződő, helyközi parancsfájlok sérülékenységében. Amikor mindhárom ilyen biztonsági rés kéz a kézben működik együttes kihasználásuk érdekében, a támadó távolról képes végrehajtani a parancsokat egy másik felhasználó rendszerén, indokolatlan és illetéktelen hozzáférést biztosítva a felhasználó privát adataihoz.

A WordPress által közzétett kutatott részletek szerint a sebezhetőséget először 25-én fedezték fel^thidén augusztusban. CVE azonosító címkét kértek még ugyanazon a napon, majd a biztonsági rést másnap jelentették a WordPress számára egy kötelező szállítói értesítés részeként. A WordPress gyorsan talpra állt, hogy kiadja az összetevő plug-in új verzióját, a 20180826-os verziót. Ez az új verzió várhatóan megoldja a Plainview Activity Monitor plugin 20161228-as és régebbi verzióiban meglévő biztonsági rést.

Ezt a sebezhetőséget alaposan megvitatták és leírták a következő bejegyzésben GitHub ahol a lehetséges összefüggő kiaknázás koncepciójának igazolása is rendelkezésre áll. A felmerülő kockázatok mérséklése érdekében a WordPress felhasználókat arra kérjük, hogy frissítsék rendszereiket arra, hogy a Plainview Activity Monitor beépülő modul legújabb verzióját használják a rendszerükön.