WordPress 擴充套件 wp-file-manager 漏洞,遭大規模用於駭侵攻擊.png

WordPress 上廣為使用的檔案管理擴充套件 wp-file-manager,日前遭發現一個嚴重資安漏洞,可能遭駭侵者用以遠端執行任意程式碼;該漏洞已遭駭侵者用以大規模發動攻擊,使用此擴充套件的 WordPress 管理者,應儘速更新以避免遭此漏洞影響。

這個漏洞出現在 The File Manager 處理檔案上傳使用的 connetor.mininal.php 程式碼中,這段程式碼可在未經授權的情形下存取,駭侵者因此可以上傳任意檔案到 WordPress 伺服器,遠端執行任意程式碼。

這個漏洞編號為 CVE-2020-25213,其 CVSS 危險程度評分高達 9.8 分。據資安專家指出,該漏洞在八月底開始遭到駭侵者用以攻擊 WordPress 伺服器,在八月最後一周,每天偵測到的攻擊次數超過 15,000 次。

存有此漏洞的 wp-file-manager 版本分別為:

  • File Manager Plugin for WordPress 6.0 至 6.8
  • File Manager Pro Plugin for WordPress 7.6 至 7.8

The File Manager 總下載次數超過 600,000 次,其開發者已於九月初提供升級版本供用戶下載,解決了這個嚴重漏洞。任何 The File Manager 用戶均應盡速下載更新至最新版本(目前為 6.9 版),以避免此漏洞帶來的資安風險。

  • 影響產品/版本: File Manger 6.0~6.8、File Manager Pro 7.6~7.8
     
  • 解決方案:升級至最新版本

  • ​​​參考連結

https://securitynews.sonicwall.com/xmlpost/cve-2020-25213-wordpress-plugin-wp-file-manager-actively-being-exploited-in-the-wild/

https://medium.com/bugbountywriteup/exploiting-cve-2020-25213-wp-file-manager-wordpress-plugin-6-9-3f79241f0cd8

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-25213

https://nvd.nist.gov/vuln/detail/CVE-2020-25213

    twcert 發表在 痞客邦 留言(0) 人氣()