Очередной страшный нулл-дей в плагине WordPress

Информация Очередной страшный нулл-дей в плагине WordPress


Пожалуйста Войдите или Зарегистрируйтесь для просмотра скрытого текста.

нулевого дня в популярном плагине для мобильных загрузок WP Mobile Detector позволяет злоумышленнику загрузить и выполнить произвольный PHP файл на целевой системе. Согласно

Пожалуйста Войдите или Зарегистрируйтесь для просмотра скрытого текста.



Первые атаки на сайты были зафиксированы 29 мая этого года. Уязвимость заключается в отсутствии каких-либо проверок во время загрузки файла. Удаленный пользователь может отправить HTTP POST или HTTP GET запрос к уязвимому сайту, указав ссылку на вредоносный файл и загрузить его на сервер.

Эксплоит к уязвимости выглядит следующим образом:
Код:
http://[path to WordPress]/wp-content/plugins/wp-mobile-detector/resize.php?src=[URL of upload file]

Производитель уже выпустил исправление безопасности.

Рекомендуем всем читателям, использующим плагин, установить в кратчайшие сроки последнюю версию плагина 3.6 или выше.
Автор
X-Shar
Просмотры
471
Первый выпуск
Обновление
Рейтинг
0.00 звёзд Оценок: 0
Верх Низ