The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Критическая уязвимость в WordPress-плагине File Manager, имеющем 700 тысяч установок"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Критическая уязвимость в WordPress-плагине File Manager, имеющем 700 тысяч установок"  +/
Сообщение от opennews (?), 02-Сен-20, 12:22 
В WordPress-плагине File Manager, насчитывающем более 700 тысяч активных установок, выявлена уязвимость, позволяющая запускать произвольные команды и PHP-скрипты на сервере. Проблема проявляется в выпусках File Manager с 6.0 по 6.8 и устранена в выпуске  6.9...

Подробнее: https://www.opennet.dev/opennews/art.shtml?num=53646

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Критическая уязвимость в WordPress-плагине File Manager, име..."  +5 +/
Сообщение от TormoZilla (?), 02-Сен-20, 12:22 
Пишите свои движки.
Ответить | Правка | Наверх | Cообщить модератору

3. "Критическая уязвимость в WordPress-плагине File Manager, име..."  –1 +/
Сообщение от Аноним (3), 02-Сен-20, 12:30 
Может, сразу Wt.
Ответить | Правка | Наверх | Cообщить модератору

4. "Критическая уязвимость в WordPress-плагине File Manager, име..."  +19 +/
Сообщение от КО (?), 02-Сен-20, 12:40 
Изобретайте ЯП с нуля, ага, ОС свои ставьте, интернет, давайте ещё параллельную вселенную заделаем
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

9. "Критическая уязвимость в WordPress-плагине File Manager, име..."  +8 +/
Сообщение от Аноним (9), 02-Сен-20, 13:48 
гугля так и делает
Ответить | Правка | Наверх | Cообщить модератору

13. "Критическая уязвимость в WordPress-плагине File Manager, име..."  +6 +/
Сообщение от Аноним (13), 02-Сен-20, 13:54 
Речь в новости не про движок а про плагин. Плагины делают васяны. Там из маркета можно установить плагин с 10 установок, который никто на уязвимости проверять не будет. Несколько раз держал вордпрессы и никто плагинами не пользовался, легко гуглится как сделать что-то без плагинов. Там форма обратной связи, генератор сайтмапа, кнопки для репостинга в соц сетки. Всё уже готовое есть и простое без плагинов.
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

14. "Критическая уязвимость в WordPress-плагине File Manager, име..."  +4 +/
Сообщение от Аноним (13), 02-Сен-20, 13:56 
Да ещё читая логи на сервере можно видеть как за день тысячи ботов сканируют сайт на вот эти самые уязвимости в плагинах.
Ответить | Правка | Наверх | Cообщить модератору

28. "Критическая уязвимость в WordPress-плагине File Manager, име..."  +1 +/
Сообщение от Аноним (28), 02-Сен-20, 18:50 
нахрена кому-то это все говно сдалось?
Ответить | Правка | Наверх | Cообщить модератору

41. "Критическая уязвимость в WordPress-плагине File Manager, име..."  +2 +/
Сообщение от Аноним (41), 03-Сен-20, 07:48 
Монетизировать же по-чёрному можно. Поставить майнеры, сливать и продавать часть трафика. Злоумышленник знает тонны способов. Там другое мышление, нужно быть в теме чтоб понимать как они это делают.
Ответить | Правка | Наверх | Cообщить модератору

15. "Критическая уязвимость в WordPress-плагине File Manager, име..."  +/
Сообщение от Аноним (15), 02-Сен-20, 13:58 
смешно, но древние самописные сайты из 2000х до сих пор работают без какой-либо поддержки. это не значит конечно что там дыр нет, но лучше уж так чем автоматические вломы
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

29. "Критическая уязвимость в WordPress-плагине File Manager, име..."  +2 +/
Сообщение от Аноним (28), 02-Сен-20, 18:51 
Таких осталось 10 шутк во всем интернете. Приходя молодое прогрессивное поколение стразу ставит WordPress или Jommla и говорит о том что программисты больше не нужны, а потом по фриланс биржам шастает с вопросами как сделать поддержку более 1_000 клиентов в плагине и т.д.
Ответить | Правка | Наверх | Cообщить модератору

47. "Критическая уязвимость в WordPress-плагине File Manager, име..."  +2 +/
Сообщение от Аноним (47), 04-Сен-20, 06:47 
Как можно употреблять слова "молодое и прогрессивное" и "wordpress и Joomla" в одном предложении ))
Ответить | Правка | Наверх | Cообщить модератору

16. "Критическая уязвимость в WordPress-плагине File Manager, име..."  +/
Сообщение от аноним12345 (?), 02-Сен-20, 13:58 
Давно
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

20. "Критическая уязвимость в WordPress-плагине File Manager, име..."  +/
Сообщение от Аноним (20), 02-Сен-20, 14:55 
https://blogengine.ru
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

23. "Критическая уязвимость в WordPress-плагине File Manager, име..."  +/
Сообщение от Аноним (23), 02-Сен-20, 15:48 
И зачем тут это кусок удобрения?
Ответить | Правка | Наверх | Cообщить модератору

30. "Критическая уязвимость в WordPress-плагине File Manager, име..."  +3 +/
Сообщение от Аноним (28), 02-Сен-20, 18:51 
Где удобрение? Мне нужно для растений купить?
А Вы не путайте гомно и удобрение!!!
Ответить | Правка | Наверх | Cообщить модератору

49. "Критическая уязвимость в WordPress-плагине File Manager, име..."  +/
Сообщение от Michael Shigorinemail (ok), 04-Сен-20, 15:58 
> И зачем тут это кусок удобрения?

Ну старается же человек, в соседней новости вон пытается на "сижку" хвост задирать...

Ответить | Правка | К родителю #23 | Наверх | Cообщить модератору

2. "Критическая уязвимость в WordPress-плагине File Manager, име..."  +2 +/
Сообщение от nebularia (ok), 02-Сен-20, 12:24 
Ну как всегда
Ответить | Правка | Наверх | Cообщить модератору

8. "Критическая уязвимость в WordPress-плагине File Manager, име..."  +9 +/
Сообщение от Аноним (8), 02-Сен-20, 13:29 
Никогда такого не было и вот снова :)
Ответить | Правка | Наверх | Cообщить модератору

11. "Критическая уязвимость в WordPress-плагине File Manager, име..."  –2 +/
Сообщение от Аноним (11), 02-Сен-20, 13:50 
Нигде такого не было, ага?


А если раскрыть глаза, то можно увидеть что дыра:
а) уже пофиксена
б) не столько в плагине, сколько в скрипте с которого он форкнут. Но разраб плага конечно тоже виноват.

Ответить | Правка | Наверх | Cообщить модератору

27. "Критическая уязвимость в WordPress-плагине File Manager, име..."  +1 +/
Сообщение от Mark (??), 02-Сен-20, 18:19 
Васян пишет плагин жопой, другие васяны ему доверяют. Всё по канонам WordPress.
Ответить | Правка | Наверх | Cообщить модератору

39. "Критическая уязвимость в WordPress-плагине File Manager, име..."  +1 +/
Сообщение от Онаним (?), 02-Сен-20, 23:09 
А также npm и прочих овнорепозитариев, из которых делатели непроверяемого шлака тянут шлак от других писателей шлака, не проверяя.

Да и композер туда же.

Ответить | Правка | Наверх | Cообщить модератору

10. "Критическая уязвимость в WordPress-плагине File Manager, име..."  +3 +/
Сообщение от Аноним (9), 02-Сен-20, 13:49 
вордхоул, дыропресс.
Ответить | Правка | Наверх | Cообщить модератору

12. "Критическая уязвимость в WordPress-плагине File Manager, име..."  –3 +/
Сообщение от Аноним (11), 02-Сен-20, 13:51 
Дыры у тебя в глазах и голове. ВП-то тут причем?
Ответить | Правка | Наверх | Cообщить модератору

31. "Критическая уязвимость в WordPress-плагине File Manager, име..."  +/
Сообщение от Аноним (28), 02-Сен-20, 18:53 
Изначально поставили процесс неверно, а теперь результат.
Впрочем в ИТ тоже кто-то должен совершать ошибки что бы потом было понятно
зачем и почему за сайт требуют мидионы и дестяки милионов.
Ответить | Правка | Наверх | Cообщить модератору

34. "Критическая уязвимость в WordPress-плагине File Manager, име..."  +/
Сообщение от Аноним (34), 02-Сен-20, 19:18 
Пик тоталли рилейтед.
http://0x0.st/iEhX.jpg
Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

46. "Критическая уязвимость в WordPress-плагине File Manager, име..."  +1 +/
Сообщение от Michael Shigorinemail (ok), 04-Сен-20, 00:44 
> ВП-то тут причем?

Ну как бы почётный участник чемпионата, можно сказать, завсегдатай высшей лиги.  По дырам, правда.

Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

37. "Критическая уязвимость в WordPress-плагине File Manager, име..."  +/
Сообщение от Аноним (20), 02-Сен-20, 22:13 
Винтерхолд.
Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору

17. "Критическая уязвимость в WordPress-плагине File Manager, име..."  +1 +/
Сообщение от Самый Лучший Гусь (?), 02-Сен-20, 14:12 
Ну и юморина
Ответить | Правка | Наверх | Cообщить модератору

18. "Критическая уязвимость в WordPress-плагине File Manager, име..."  +1 +/
Сообщение от InuYasha (??), 02-Сен-20, 14:51 
Когда граница между даными и инструкциями размыта, жди беды. А с вёбом всегда так было.
Ответить | Правка | Наверх | Cообщить модератору

19. "Критическая уязвимость в WordPress-плагине File Manager, име..."  +1 +/
Сообщение от ДмитрийСССР (?), 02-Сен-20, 14:53 
А кто-то может объяснить такую популярность именно WordPress? Я смотрел его внутри, он убог же по самое не хочу, есть же другие CMS которые имеют более хорошую архитектуру, более понятную, и они так-же бесплатны и имеют плагины, почему именно WP?
Ответить | Правка | Наверх | Cообщить модератору

21. "Критическая уязвимость в WordPress-плагине File Manager, име..."  +2 +/
Сообщение от Анонимemail (21), 02-Сен-20, 15:11 
Думаю потому, что либо в хостинг панели в один клик, либо в aws/etc в докере в один клик...
Ответить | Правка | Наверх | Cообщить модератору

22. "Критическая уязвимость в WordPress-плагине File Manager, име..."  +/
Сообщение от Аноним (22), 02-Сен-20, 15:18 
Потому что в WP искаропки работает почти все, что нужно для простого нескучного сайта/бложика без всяких плагинов, виджетов и кодинга - это именно то, что нужно хомячку.
В джумле и друпале чтобы просто базовый функционал получить приходится поплясать с бубном и поковыряться в php.
В остальном эти три кита cms ничем друг от друга не отличаются - при необходимости выхода за пределы нескучного сайтика все требуют приложения головы и рук и все три дырявые и глючные.
Ответить | Правка | К родителю #19 | Наверх | Cообщить модератору

24. "Критическая уязвимость в WordPress-плагине File Manager, име..."  +/
Сообщение от microsoft (?), 02-Сен-20, 16:33 
Что из не дырявых насоветуете?? Можно и не на пыхе писаные
Ответить | Правка | Наверх | Cообщить модератору

25. "Критическая уязвимость в WordPress-плагине File Manager, име..."  +/
Сообщение от Аноним (25), 02-Сен-20, 16:50 
Любой генератор статики, типа hugo/hexo. Дыр не будет по определению. Не всем подойдёт, конечно, но для стандартных задач, решаемых обычно вордпрессом, вполне.
Ответить | Правка | Наверх | Cообщить модератору

26. "Критическая уязвимость в WordPress-плагине File Manager, име..."  +/
Сообщение от Аноним (26), 02-Сен-20, 17:20 
Таковых в природе нет. Лопайте, что дают.
Ну или ваяйте на православном html 1.0
Ответить | Правка | К родителю #24 | Наверх | Cообщить модератору

43. "Критическая уязвимость в WordPress-плагине File Manager, име..."  +/
Сообщение от Аноним (20), 03-Сен-20, 19:46 
Grav/Gantry5
Ответить | Правка | К родителю #24 | Наверх | Cообщить модератору

32. "Критическая уязвимость в WordPress-плагине File Manager, име..."  +/
Сообщение от Аноним (32), 02-Сен-20, 18:53 
Простенько сложили в кучу - ведь они ж не ошибаются.
А изолировали бы в отдельное место и не было бы вопроса....

Ответить | Правка | Наверх | Cообщить модератору

33. "Критическая уязвимость в WordPress-плагине File Manager, име..."  +/
Сообщение от Аноним (28), 02-Сен-20, 18:55 
Ну нечего потому что на PHP нанимать школьников делать корпоротивные сайты. Специалисты до 20 - 30 лет изучают разные хитрые технологии и организуют корпорации и делают порталы за сотни тысяч, а тут какие-то смузихлебы решили перевернуть отрасль и что вышло... Только за последние 10 лет одни сообщения о ошибках утечках и дырках. Вот и результат когнда васяны закончив ПТУ лезут в инженерию.
Ответить | Правка | Наверх | Cообщить модератору

35. "Критическая уязвимость в WordPress-плагине File Manager, име..."  +/
Сообщение от Аноним (35), 02-Сен-20, 20:56 
Кто-то, объясните пожалуйста в чём баг именно плагина? Ну позволяет он загрузить файл, ну имя там можно какое-то задать произвольное. Но это ж не в коде плагина exec('${fileNameFromQueryString}) условное зовётся?
Ответить | Правка | Наверх | Cообщить модератору

45. "Критическая уязвимость в WordPress-плагине File Manager, име..."  +/
Сообщение от Аноним (45), 03-Сен-20, 21:00 
Там насколько понимаю внедрение в admin-ajax происходит. А это что-то типа права рута в вордпрессе, через него например авторизация учётки админа происходит, который решает что установить, залить, где какой код поправить.
Ответить | Правка | Наверх | Cообщить модератору

36. "Критическая уязвимость в WordPress-плагине File Manager, име..."  +/
Сообщение от Аноним (36), 02-Сен-20, 21:03 
700000 уязвимостей
Ответить | Правка | Наверх | Cообщить модератору

38. "Критическая уязвимость в WordPress-плагине File Manager, име..."  +/
Сообщение от Аноним (20), 02-Сен-20, 22:56 
Был для пхп вроде модель Runkit_Sandbox который мог ограничивать физическое воздействие в неймспейсах.
Ответить | Правка | Наверх | Cообщить модератору

40. "Критическая уязвимость в WordPress-плагине File Manager, име..."  +/
Сообщение от Онаним (?), 02-Сен-20, 23:10 
Физическое воздействие - это в смысле кувалдочкой по серверу?
От этого вас никакой Runkit_Sandbox не спасёт, увы.
Ответить | Правка | Наверх | Cообщить модератору

42. "Критическая уязвимость в WordPress-плагине File Manager, име..."  –3 +/
Сообщение от Аноним (42), 03-Сен-20, 09:13 
Уже давно все используют BitrixVM и уязвимостей нет. ВП - прошлый век!
Ответить | Правка | Наверх | Cообщить модератору

44. "Критическая уязвимость в WordPress-плагине File Manager, име..."  +/
Сообщение от Аноним (45), 03-Сен-20, 20:56 
Вордпресс конечно старый, но домохозяйки его наворачивать не перестанут. Напротив, количество сайтов на вордпрессе только растёт, а хостинги автоматически устанавливают в 2 клика.
Золотая жила для хацкеров.
Ответить | Правка | Наверх | Cообщить модератору

48. "Критическая уязвимость в WordPress-плагине File Manager, име..."  +/
Сообщение от Аноним (20), 04-Сен-20, 15:23 
HDD дисков скоро не хватит на все эти Wordpress
Ответить | Правка | Наверх | Cообщить модератору

50. "Критическая уязвимость в WordPress-плагине File Manager, име..."  +/
Сообщение от Michael Shigorinemail (ok), 07-Сен-20, 12:46 
> Уже давно все используют BitrixVM

Шо, даже у вас на японщине в аниме-студии, интересующейся fheroes2? ;-]

Ответить | Правка | К родителю #42 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру