Новый баг был найден в самой популярной CMS в мире и в рунете. И, хотя сам по себе новый баг не позволяет получить доступ к сайту, в комбинации с другими атаками на сайт, новая уязвимость может представлять довольно серьёзную опасность. К сожалению, официального патча для уязвимости пока нет, есть неофициальный хотфикс.
О характере уязвимости стало известно после поста в блоге компании RIPS Technologies. Её суть заключается в том, что, если у пользователя есть доступ к редактору постов на сайте, это даёт ему права на загрузку, удаление и редактирование медиафайлов на сайте. На самом деле, такому пользователю даже нет необходимости обладать правами администратора на сайте. На практике это даёт злоумышленнику возможность загрузить вредоносный код и удалить файлы сайта. В частности, удаление перечисленных ниже файлов приведет к следующим последствиям:
.htaccess — удаление этого файла редко оказывает непосредственное влияние на безопасность сайта. Но возможна ситуация, когда в данном файле содержались некоторые ограничения (например, по доступу к определенным каталогам на сайте). Соответственно, удаление данного файла отменит эти ограничения;
index.php — удаление данных файлов даст атакующему список всех файлов в каталогах, которые скрывались при помощи помещения туда пустых файлов index.php;
wp-config.php — удаление данного файла запустит процесс установки CMS при следующем посещении сайта. Дело в том, что этот файл содержит учетные данные базы данных, его отсутствие сводит ситуацию к тому, как будто WordPress вообще не установлен. Это даст атакующему возможность установить CMS со своими настройками, получить контроль над сайтом и использовать его в своих интересах. Например, для распространения вредоносного контента.
Согласно информации из блога RIPS Technologies, разработчики WordPress в курсе о существовании уязвимости уже семь месяцев, но до сих пор не выпустили необходимый патч. Таким образом, на текущий момент эксплуатацию описанного бага допускают все версии WordPress, в том числе и 4.9.6. Тем не менее, неофициальный хотфикс, исправляющий этот баг, описан в уже указанной статье в блоге RIPS Technologies.
upd: Разработчики WordPress выпустили внеплановый релиз 4.9.7, в котором устранены эта и другая смежная уязвимости.
Статьи по теме: