нулевого дня в популярном плагине для мобильных загрузок WP Mobile Detector позволяет злоумышленнику загрузить и выполнить произвольный PHP файл на целевой системе. Согласно
Первые атаки на сайты были зафиксированы 29 мая этого года. Уязвимость заключается в отсутствии каких-либо проверок во время загрузки файла. Удаленный пользователь может отправить HTTP POST или HTTP GET запрос к уязвимому сайту, указав ссылку на вредоносный файл и загрузить его на сервер.
Эксплоит к уязвимости выглядит следующим образом:
Производитель уже выпустил исправление безопасности.
Рекомендуем всем читателям, использующим плагин, установить в кратчайшие сроки последнюю версию плагина 3.6 или выше.
Первые атаки на сайты были зафиксированы 29 мая этого года. Уязвимость заключается в отсутствии каких-либо проверок во время загрузки файла. Удаленный пользователь может отправить HTTP POST или HTTP GET запрос к уязвимому сайту, указав ссылку на вредоносный файл и загрузить его на сервер.
Эксплоит к уязвимости выглядит следующим образом:
Код:
http://[path to WordPress]/wp-content/plugins/wp-mobile-detector/resize.php?src=[URL of upload file]
Производитель уже выпустил исправление безопасности.
Рекомендуем всем читателям, использующим плагин, установить в кратчайшие сроки последнюю версию плагина 3.6 или выше.