• Уменьшение отступа

    Обратная связь

    (info@ru-sfera.pw)

Очередной страшный нулл-дей в плагине WordPress

Информация Очередной страшный нулл-дей в плагине WordPress

41f25503217f643b3849045251692ec0.jpg

Уязвимость
нулевого дня в популярном плагине для мобильных загрузок WP Mobile Detector позволяет злоумышленнику загрузить и выполнить произвольный PHP файл на целевой системе. Согласно статистике на сайте WordPress, плагин насчитывает более 10 000 активных установок.

Первые атаки на сайты были зафиксированы 29 мая этого года. Уязвимость заключается в отсутствии каких-либо проверок во время загрузки файла. Удаленный пользователь может отправить HTTP POST или HTTP GET запрос к уязвимому сайту, указав ссылку на вредоносный файл и загрузить его на сервер.

Эксплоит к уязвимости выглядит следующим образом:
Код:
http://[path to WordPress]/wp-content/plugins/wp-mobile-detector/resize.php?src=[URL of upload file]

Производитель уже выпустил исправление безопасности.

Рекомендуем всем читателям, использующим плагин, установить в кратчайшие сроки последнюю версию плагина 3.6 или выше.
Автор
X-Shar
Просмотры
545
Первый выпуск
Обновление
Рейтинг
0.00 звёзд Оценок: 0
Верх Низ