URL: https://www.opennet.dev/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 121730
[ Назад ]
Исходное сообщение
"Критическая уязвимость в WordPress-плагине File Manager, имеющем 700 тысяч установок"
Отправлено opennews , 02-Сен-20 12:22 
В WordPress-плагине File Manager, насчитывающем более 700 тысяч активных установок, выявлена уязвимость, позволяющая запускать произвольные команды и PHP-скрипты на сервере. Проблема проявляется в выпусках File Manager с 6.0 по 6.8 и устранена в выпуске  6.9...

Подробнее: https://www.opennet.dev/opennews/art.shtml?num=53646

Содержание
Сообщения в этом обсуждении
"Критическая уязвимость в WordPress-плагине File Manager, име..."
Отправлено TormoZilla , 02-Сен-20 12:22 
Пишите свои движки.
"Критическая уязвимость в WordPress-плагине File Manager, име..."
Отправлено Аноним , 02-Сен-20 12:30 
Может, сразу Wt.
"Критическая уязвимость в WordPress-плагине File Manager, име..."
Отправлено КО , 02-Сен-20 12:40 
Изобретайте ЯП с нуля, ага, ОС свои ставьте, интернет, давайте ещё параллельную вселенную заделаем
"Критическая уязвимость в WordPress-плагине File Manager, име..."
Отправлено Аноним , 02-Сен-20 13:48 
гугля так и делает
"Критическая уязвимость в WordPress-плагине File Manager, име..."
Отправлено Аноним , 02-Сен-20 13:54 
Речь в новости не про движок а про плагин. Плагины делают васяны. Там из маркета можно установить плагин с 10 установок, который никто на уязвимости проверять не будет. Несколько раз держал вордпрессы и никто плагинами не пользовался, легко гуглится как сделать что-то без плагинов. Там форма обратной связи, генератор сайтмапа, кнопки для репостинга в соц сетки. Всё уже готовое есть и простое без плагинов.
"Критическая уязвимость в WordPress-плагине File Manager, име..."
Отправлено Аноним , 02-Сен-20 13:56 
Да ещё читая логи на сервере можно видеть как за день тысячи ботов сканируют сайт на вот эти самые уязвимости в плагинах.
"Критическая уязвимость в WordPress-плагине File Manager, име..."
Отправлено Аноним , 02-Сен-20 18:50 
нахрена кому-то это все говно сдалось?
"Критическая уязвимость в WordPress-плагине File Manager, име..."
Отправлено Аноним , 03-Сен-20 07:48 
Монетизировать же по-чёрному можно. Поставить майнеры, сливать и продавать часть трафика. Злоумышленник знает тонны способов. Там другое мышление, нужно быть в теме чтоб понимать как они это делают.
"Критическая уязвимость в WordPress-плагине File Manager, име..."
Отправлено Аноним , 02-Сен-20 13:58 
смешно, но древние самописные сайты из 2000х до сих пор работают без какой-либо поддержки. это не значит конечно что там дыр нет, но лучше уж так чем автоматические вломы
"Критическая уязвимость в WordPress-плагине File Manager, име..."
Отправлено Аноним , 02-Сен-20 18:51 
Таких осталось 10 шутк во всем интернете. Приходя молодое прогрессивное поколение стразу ставит WordPress или Jommla и говорит о том что программисты больше не нужны, а потом по фриланс биржам шастает с вопросами как сделать поддержку более 1_000 клиентов в плагине и т.д.
"Критическая уязвимость в WordPress-плагине File Manager, име..."
Отправлено Аноним , 04-Сен-20 06:47 
Как можно употреблять слова "молодое и прогрессивное" и "wordpress и Joomla" в одном предложении ))
"Критическая уязвимость в WordPress-плагине File Manager, име..."
Отправлено аноним12345 , 02-Сен-20 13:58 
Давно
"Критическая уязвимость в WordPress-плагине File Manager, име..."
Отправлено Аноним , 02-Сен-20 14:55 
https://blogengine.ru
"Критическая уязвимость в WordPress-плагине File Manager, име..."
Отправлено Аноним , 02-Сен-20 15:48 
И зачем тут это кусок удобрения?
"Критическая уязвимость в WordPress-плагине File Manager, име..."
Отправлено Аноним , 02-Сен-20 18:51 
Где удобрение? Мне нужно для растений купить?
А Вы не путайте гомно и удобрение!!!
"Критическая уязвимость в WordPress-плагине File Manager, име..."
Отправлено Michael Shigorin , 04-Сен-20 15:58 
> И зачем тут это кусок удобрения?

Ну старается же человек, в соседней новости вон пытается на "сижку" хвост задирать...

"Критическая уязвимость в WordPress-плагине File Manager, име..."
Отправлено nebularia , 02-Сен-20 12:24 
Ну как всегда
"Критическая уязвимость в WordPress-плагине File Manager, име..."
Отправлено Аноним , 02-Сен-20 13:29 
Никогда такого не было и вот снова :)
"Критическая уязвимость в WordPress-плагине File Manager, име..."
Отправлено Аноним , 02-Сен-20 13:50 
Нигде такого не было, ага?


А если раскрыть глаза, то можно увидеть что дыра:
а) уже пофиксена
б) не столько в плагине, сколько в скрипте с которого он форкнут. Но разраб плага конечно тоже виноват.

"Критическая уязвимость в WordPress-плагине File Manager, име..."
Отправлено Mark , 02-Сен-20 18:19 
Васян пишет плагин жопой, другие васяны ему доверяют. Всё по канонам WordPress.
"Критическая уязвимость в WordPress-плагине File Manager, име..."
Отправлено Онаним , 02-Сен-20 23:09 
А также npm и прочих овнорепозитариев, из которых делатели непроверяемого шлака тянут шлак от других писателей шлака, не проверяя.

Да и композер туда же.

"Критическая уязвимость в WordPress-плагине File Manager, име..."
Отправлено Аноним , 02-Сен-20 13:49 
вордхоул, дыропресс.
"Критическая уязвимость в WordPress-плагине File Manager, име..."
Отправлено Аноним , 02-Сен-20 13:51 
Дыры у тебя в глазах и голове. ВП-то тут причем?
"Критическая уязвимость в WordPress-плагине File Manager, име..."
Отправлено Аноним , 02-Сен-20 18:53 
Изначально поставили процесс неверно, а теперь результат.
Впрочем в ИТ тоже кто-то должен совершать ошибки что бы потом было понятно
зачем и почему за сайт требуют мидионы и дестяки милионов.
"Критическая уязвимость в WordPress-плагине File Manager, име..."
Отправлено Аноним , 02-Сен-20 19:18 
Пик тоталли рилейтед.
http://0x0.st/iEhX.jpg
"Критическая уязвимость в WordPress-плагине File Manager, име..."
Отправлено Michael Shigorin , 04-Сен-20 00:44 
> ВП-то тут причем?

Ну как бы почётный участник чемпионата, можно сказать, завсегдатай высшей лиги.  По дырам, правда.

"Критическая уязвимость в WordPress-плагине File Manager, име..."
Отправлено Аноним , 02-Сен-20 22:13 
Винтерхолд.
"Критическая уязвимость в WordPress-плагине File Manager, име..."
Отправлено Самый Лучший Гусь , 02-Сен-20 14:12 
Ну и юморина
"Критическая уязвимость в WordPress-плагине File Manager, име..."
Отправлено InuYasha , 02-Сен-20 14:51 
Когда граница между даными и инструкциями размыта, жди беды. А с вёбом всегда так было.
"Критическая уязвимость в WordPress-плагине File Manager, име..."
Отправлено ДмитрийСССР , 02-Сен-20 14:53 
А кто-то может объяснить такую популярность именно WordPress? Я смотрел его внутри, он убог же по самое не хочу, есть же другие CMS которые имеют более хорошую архитектуру, более понятную, и они так-же бесплатны и имеют плагины, почему именно WP?
"Критическая уязвимость в WordPress-плагине File Manager, име..."
Отправлено Аноним , 02-Сен-20 15:11 
Думаю потому, что либо в хостинг панели в один клик, либо в aws/etc в докере в один клик...
"Критическая уязвимость в WordPress-плагине File Manager, име..."
Отправлено Аноним , 02-Сен-20 15:18 
Потому что в WP искаропки работает почти все, что нужно для простого нескучного сайта/бложика без всяких плагинов, виджетов и кодинга - это именно то, что нужно хомячку.
В джумле и друпале чтобы просто базовый функционал получить приходится поплясать с бубном и поковыряться в php.
В остальном эти три кита cms ничем друг от друга не отличаются - при необходимости выхода за пределы нескучного сайтика все требуют приложения головы и рук и все три дырявые и глючные.
"Критическая уязвимость в WordPress-плагине File Manager, име..."
Отправлено microsoft , 02-Сен-20 16:33 
Что из не дырявых насоветуете?? Можно и не на пыхе писаные
"Критическая уязвимость в WordPress-плагине File Manager, име..."
Отправлено Аноним , 02-Сен-20 16:50 
Любой генератор статики, типа hugo/hexo. Дыр не будет по определению. Не всем подойдёт, конечно, но для стандартных задач, решаемых обычно вордпрессом, вполне.
"Критическая уязвимость в WordPress-плагине File Manager, име..."
Отправлено Аноним , 02-Сен-20 17:20 
Таковых в природе нет. Лопайте, что дают.
Ну или ваяйте на православном html 1.0
"Критическая уязвимость в WordPress-плагине File Manager, име..."
Отправлено Аноним , 03-Сен-20 19:46 
Grav/Gantry5
"Критическая уязвимость в WordPress-плагине File Manager, име..."
Отправлено Аноним , 02-Сен-20 18:53 
Простенько сложили в кучу - ведь они ж не ошибаются.
А изолировали бы в отдельное место и не было бы вопроса....

"Критическая уязвимость в WordPress-плагине File Manager, име..."
Отправлено Аноним , 02-Сен-20 18:55 
Ну нечего потому что на PHP нанимать школьников делать корпоротивные сайты. Специалисты до 20 - 30 лет изучают разные хитрые технологии и организуют корпорации и делают порталы за сотни тысяч, а тут какие-то смузихлебы решили перевернуть отрасль и что вышло... Только за последние 10 лет одни сообщения о ошибках утечках и дырках. Вот и результат когнда васяны закончив ПТУ лезут в инженерию.
"Критическая уязвимость в WordPress-плагине File Manager, име..."
Отправлено Аноним , 02-Сен-20 20:56 
Кто-то, объясните пожалуйста в чём баг именно плагина? Ну позволяет он загрузить файл, ну имя там можно какое-то задать произвольное. Но это ж не в коде плагина exec('${fileNameFromQueryString}) условное зовётся?
"Критическая уязвимость в WordPress-плагине File Manager, име..."
Отправлено Аноним , 03-Сен-20 21:00 
Там насколько понимаю внедрение в admin-ajax происходит. А это что-то типа права рута в вордпрессе, через него например авторизация учётки админа происходит, который решает что установить, залить, где какой код поправить.
"Критическая уязвимость в WordPress-плагине File Manager, име..."
Отправлено Аноним , 02-Сен-20 21:03 
700000 уязвимостей
"Критическая уязвимость в WordPress-плагине File Manager, име..."
Отправлено Аноним , 02-Сен-20 22:56 
Был для пхп вроде модель Runkit_Sandbox который мог ограничивать физическое воздействие в неймспейсах.
"Критическая уязвимость в WordPress-плагине File Manager, име..."
Отправлено Онаним , 02-Сен-20 23:10 
Физическое воздействие - это в смысле кувалдочкой по серверу?
От этого вас никакой Runkit_Sandbox не спасёт, увы.
"Критическая уязвимость в WordPress-плагине File Manager, име..."
Отправлено Аноним , 03-Сен-20 09:13 
Уже давно все используют BitrixVM и уязвимостей нет. ВП - прошлый век!
"Критическая уязвимость в WordPress-плагине File Manager, име..."
Отправлено Аноним , 03-Сен-20 20:56 
Вордпресс конечно старый, но домохозяйки его наворачивать не перестанут. Напротив, количество сайтов на вордпрессе только растёт, а хостинги автоматически устанавливают в 2 клика.
Золотая жила для хацкеров.
"Критическая уязвимость в WordPress-плагине File Manager, име..."
Отправлено Аноним , 04-Сен-20 15:23 
HDD дисков скоро не хватит на все эти Wordpress
"Критическая уязвимость в WordPress-плагине File Manager, име..."
Отправлено Michael Shigorin , 07-Сен-20 12:46 
> Уже давно все используют BitrixVM

Шо, даже у вас на японщине в аниме-студии, интересующейся fheroes2? ;-]