Эксперты Wordfence предупредили, что уязвимости, недавно исправленные в плагине WordPress Download Manager (установлен более чем на 100 000 сайтов), могут использоваться для выполнения произвольного кода в определенных конфигурациях.
Первый баг, о котором идет речь, имеет идентификатор CVE-2021-34639 (7,5 баллов по шкале CVSS) и представляет собой проблему аутентифицированной загрузки файлов. Уязвимость позволяет злоумышленникам загружать файлы с расширениями php4, а также файлы, которые могут быть выполнены при соблюдении определенных условий. В частности, плагин уязвим для атак с двойным расширением (когда файл с несколькими расширениями используется для выполнения кода).
«Например, можно загрузить файл с названием info.php.png. Этот файл будет исполняемым в определенных конфигурациях Apache/mod_php, где используются директивы AddHandler или AddType», — пишут специалисты.
Уязвимость представляла опасность для всех версий WordPress Download Manager вплоть до 3.1.24, и была исправлена в начале мая напряду с другой проблемой, которая могла применяться для доступа к конфиденциальной информации.
Второй баг, отслеживаемый как CVE-2021-34638 (6,5 баллов по шкале CVSS), представляет собой обход каталога, который может позволить пользователю с низкими привилегиями получить содержимое файла wp-config.php. Для этого нужно добавить новую загрузку и выполнить атаку типа directory traversal с использованием параметра file [page_template].
В Wordfence добавляют, что этой уязвимостью тоже можно злоупотреблять для выполнения кода: пользователь с правами автора может загрузить файл с расширением изображения, но содержащий вредоносный JavaScript. Включив путь к загруженному файлу в file [page_template] , атакующий обеспечит выполнение JavaScript при каждом просмотре или предварительном просмотре страницы.
