Опасная уязвимость WordPress

Сотрудники компании RIPS сообщили об опасной уязвимости вCMS WordPress, которая дает возможность загружать в систему вредоносный код и удалять критически важные файлы. Под угрозой все версии CMS, включая WordPress 4.9.6. Настоятельно рекомендуем сделать резервные копии сайтов.

Пользователи с правами редактора могут управлять изображениями, а также внедрять в CMS произвольный код и удалять критически важные для работы системы файлы. В нормальных условиях эти данные быть открыты только администратору на сервере или через FTP.


По словам экспертов RIPS, даже доступа уровня User может быть достаточно для использования уязвимости.
Злоумышленник может удалить файл wp-config.php и заново установить систему с вредоносным контентом.
Представители WordPress никак не прокомментировали ситуацию. Хотя официального патча пока нет, разработчики RIPS выпустили собственный временный хотфикс, код которого нужно добавить к файлу functions.php.

add_filter( 'wp_update_attachment_metadata', 'rips_unlink_tempfix' );
 
function rips_unlink_tempfix( $data ) {
    if( isset($data['thumb']) ) {
        $data['thumb'] = basename($data['thumb']);
    }
 
    return $data;
}

wordpress fix

Leave a comment

Make sure you enter all the required information, indicated by an asterisk (*). HTML code is not allowed.

Sales department:
Rua Francisco Sa Carneiro, Lt. 11
3430-048 Carregal do Sal
Portugal
Working hours are from 9:00 AM to 9:00 PM
For finance support write requests in billing tickets


Technics department 
Wounder st, Lt.11
3040 Limassol
Cyprus 
For technical support write requests in billing tickets

The company is founded in 2007 on universal human principles of integrity, human rights and freedoms, and the relationships between individuals.
Host-for.NET
Markova st., 88, Debrivne 15163
Geroev Stalingrada, 39B, Kiev 04210