close

WordPress File Manager 擴充套件含有嚴重 0-day 資安漏洞,約七十萬個網站曝險.png

資安廠商 Wordfence 於日前發表研究報告,指出一個使用相當廣泛的 WordPress 擴充套件「File Manager」,含有一個嚴重的 0-day 資安漏洞;駭侵者可透過此漏洞遠端執行任意程式碼。

File Manager 是個可讓 WordPress 管理者更方便地管理網站內檔案的擴充套件;為達到此一目的,File Manager 使用了一個叫做 elFinder 的程式庫,該漏洞就發生在 File Manager 為了直接執行 php 程式碼而修改了 elFinder 中的 connector.minimal.php.dist 檔名為 connector.minimal.php,而這個檔案實際上並無作用,而且也未設有任何存取限制,導致駭侵者可以利用這個漏洞植入惡意程式碼。

據 Wordfence 的報告指出,這個 0-day 漏洞主要影響的 File Manager 版本為 6.0 到 6.8,其 CVSS 危險評分高達滿分的 10.0 分。

據估計,安裝了 File Manager 的 WordPress 網站約有七十萬個;File Manager 的開發者也已釋出資安修補更新版本;用戶只要將 File Manager 擴充套件升級到 6.9 版即可。

  • 影響產品/版本:File Manager 6.0 到 6.8
  • 解決方案:升級至 File Manager 6.9 以上版本
  • 參考連結

https://wordpress.org/plugins/wp-file-manager/

https://www.wordfence.com/blog/2020/09/700000-wordpress-users-affected-by-zero-day-vulnerability-in-file-manager-plugin/

arrow
arrow
    文章標籤
    TWCERTCC TWCERT 台灣電腦網路危機處理暨協調中心 WordPress File Manager 擴充套件 資安漏洞 elFinder
    全站熱搜

    twcert 發表在 痞客邦 留言(0) 人氣()

    E-mail轉寄