The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"Критическая уязвимость в WordPress-плагине File Manager, имеющем 700 тысяч установок"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Критическая уязвимость в WordPress-плагине File Manager, имеющем 700 тысяч установок"  +/
Сообщение от opennews (?), 02-Сен-20, 12:22 
В WordPress-плагине File Manager, насчитывающем более 700 тысяч активных установок, выявлена уязвимость, позволяющая запускать произвольные команды и PHP-скрипты на сервере. Проблема проявляется в выпусках File Manager с 6.0 по 6.8 и устранена в выпуске  6.9...

Подробнее: https://www.opennet.ru/opennews/art.shtml?num=53646

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по ответам | RSS]

1. Сообщение от TormoZilla (?), 02-Сен-20, 12:22   +5 +/
Пишите свои движки.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #3, #4, #13, #15, #16, #20

2. Сообщение от nebularia (ok), 02-Сен-20, 12:24   +2 +/
Ну как всегда
Ответить | Правка | Наверх | Cообщить модератору

3. Сообщение от Аноним (3), 02-Сен-20, 12:30   –1 +/
Может, сразу Wt.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

4. Сообщение от КО (?), 02-Сен-20, 12:40   +19 +/
Изобретайте ЯП с нуля, ага, ОС свои ставьте, интернет, давайте ещё параллельную вселенную заделаем
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #9

8. Сообщение от Аноним (8), 02-Сен-20, 13:29   +9 +/
Никогда такого не было и вот снова :)
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #11

9. Сообщение от Аноним (9), 02-Сен-20, 13:48   +8 +/
гугля так и делает
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4

10. Сообщение от Аноним (9), 02-Сен-20, 13:49   +3 +/
вордхоул, дыропресс.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #12, #37

11. Сообщение от Аноним (11), 02-Сен-20, 13:50   –2 +/
Нигде такого не было, ага?


А если раскрыть глаза, то можно увидеть что дыра:
а) уже пофиксена
б) не столько в плагине, сколько в скрипте с которого он форкнут. Но разраб плага конечно тоже виноват.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #27

12. Сообщение от Аноним (11), 02-Сен-20, 13:51   –3 +/
Дыры у тебя в глазах и голове. ВП-то тут причем?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10 Ответы: #31, #34, #46

13. Сообщение от Аноним (13), 02-Сен-20, 13:54   +6 +/
Речь в новости не про движок а про плагин. Плагины делают васяны. Там из маркета можно установить плагин с 10 установок, который никто на уязвимости проверять не будет. Несколько раз держал вордпрессы и никто плагинами не пользовался, легко гуглится как сделать что-то без плагинов. Там форма обратной связи, генератор сайтмапа, кнопки для репостинга в соц сетки. Всё уже готовое есть и простое без плагинов.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #14

14. Сообщение от Аноним (13), 02-Сен-20, 13:56   +4 +/
Да ещё читая логи на сервере можно видеть как за день тысячи ботов сканируют сайт на вот эти самые уязвимости в плагинах.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13 Ответы: #28

15. Сообщение от Аноним (15), 02-Сен-20, 13:58   +/
смешно, но древние самописные сайты из 2000х до сих пор работают без какой-либо поддержки. это не значит конечно что там дыр нет, но лучше уж так чем автоматические вломы
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #29

16. Сообщение от аноним12345 (?), 02-Сен-20, 13:58   +/
Давно
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

17. Сообщение от Самый Лучший Гусь (?), 02-Сен-20, 14:12   +1 +/
Ну и юморина
Ответить | Правка | Наверх | Cообщить модератору

18. Сообщение от InuYasha (??), 02-Сен-20, 14:51   +1 +/
Когда граница между даными и инструкциями размыта, жди беды. А с вёбом всегда так было.
Ответить | Правка | Наверх | Cообщить модератору

19. Сообщение от ДмитрийСССР (?), 02-Сен-20, 14:53   +1 +/
А кто-то может объяснить такую популярность именно WordPress? Я смотрел его внутри, он убог же по самое не хочу, есть же другие CMS которые имеют более хорошую архитектуру, более понятную, и они так-же бесплатны и имеют плагины, почему именно WP?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #21, #22

20. Сообщение от Аноним (20), 02-Сен-20, 14:55   +/
https://blogengine.ru
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #23

21. Сообщение от Анонимemail (21), 02-Сен-20, 15:11   +2 +/
Думаю потому, что либо в хостинг панели в один клик, либо в aws/etc в докере в один клик...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19

22. Сообщение от Аноним (22), 02-Сен-20, 15:18   +/
Потому что в WP искаропки работает почти все, что нужно для простого нескучного сайта/бложика без всяких плагинов, виджетов и кодинга - это именно то, что нужно хомячку.
В джумле и друпале чтобы просто базовый функционал получить приходится поплясать с бубном и поковыряться в php.
В остальном эти три кита cms ничем друг от друга не отличаются - при необходимости выхода за пределы нескучного сайтика все требуют приложения головы и рук и все три дырявые и глючные.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19 Ответы: #24

23. Сообщение от Аноним (23), 02-Сен-20, 15:48   +/
И зачем тут это кусок удобрения?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20 Ответы: #30, #49

24. Сообщение от microsoft (?), 02-Сен-20, 16:33   +/
Что из не дырявых насоветуете?? Можно и не на пыхе писаные
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22 Ответы: #25, #26, #43

25. Сообщение от Аноним (25), 02-Сен-20, 16:50   +/
Любой генератор статики, типа hugo/hexo. Дыр не будет по определению. Не всем подойдёт, конечно, но для стандартных задач, решаемых обычно вордпрессом, вполне.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24

26. Сообщение от Аноним (26), 02-Сен-20, 17:20   +/
Таковых в природе нет. Лопайте, что дают.
Ну или ваяйте на православном html 1.0
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24

27. Сообщение от Mark (??), 02-Сен-20, 18:19   +1 +/
Васян пишет плагин жопой, другие васяны ему доверяют. Всё по канонам WordPress.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #39

28. Сообщение от Аноним (28), 02-Сен-20, 18:50   +1 +/
нахрена кому-то это все говно сдалось?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14 Ответы: #41

29. Сообщение от Аноним (28), 02-Сен-20, 18:51   +2 +/
Таких осталось 10 шутк во всем интернете. Приходя молодое прогрессивное поколение стразу ставит WordPress или Jommla и говорит о том что программисты больше не нужны, а потом по фриланс биржам шастает с вопросами как сделать поддержку более 1_000 клиентов в плагине и т.д.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15 Ответы: #47

30. Сообщение от Аноним (28), 02-Сен-20, 18:51   +3 +/
Где удобрение? Мне нужно для растений купить?
А Вы не путайте гомно и удобрение!!!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23

31. Сообщение от Аноним (28), 02-Сен-20, 18:53   +/
Изначально поставили процесс неверно, а теперь результат.
Впрочем в ИТ тоже кто-то должен совершать ошибки что бы потом было понятно
зачем и почему за сайт требуют мидионы и дестяки милионов.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12

32. Сообщение от Аноним (32), 02-Сен-20, 18:53   +/
Простенько сложили в кучу - ведь они ж не ошибаются.
А изолировали бы в отдельное место и не было бы вопроса....

Ответить | Правка | Наверх | Cообщить модератору

33. Сообщение от Аноним (28), 02-Сен-20, 18:55   +/
Ну нечего потому что на PHP нанимать школьников делать корпоротивные сайты. Специалисты до 20 - 30 лет изучают разные хитрые технологии и организуют корпорации и делают порталы за сотни тысяч, а тут какие-то смузихлебы решили перевернуть отрасль и что вышло... Только за последние 10 лет одни сообщения о ошибках утечках и дырках. Вот и результат когнда васяны закончив ПТУ лезут в инженерию.
Ответить | Правка | Наверх | Cообщить модератору

34. Сообщение от Аноним (34), 02-Сен-20, 19:18   +/
Пик тоталли рилейтед.
http://0x0.st/iEhX.jpg
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12

35. Сообщение от Аноним (35), 02-Сен-20, 20:56   +/
Кто-то, объясните пожалуйста в чём баг именно плагина? Ну позволяет он загрузить файл, ну имя там можно какое-то задать произвольное. Но это ж не в коде плагина exec('${fileNameFromQueryString}) условное зовётся?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #45

36. Сообщение от Аноним (36), 02-Сен-20, 21:03   +/
700000 уязвимостей
Ответить | Правка | Наверх | Cообщить модератору

37. Сообщение от Аноним (20), 02-Сен-20, 22:13   +/
Винтерхолд.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10

38. Сообщение от Аноним (20), 02-Сен-20, 22:56   +/
Был для пхп вроде модель Runkit_Sandbox который мог ограничивать физическое воздействие в неймспейсах.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #40

39. Сообщение от Онаним (?), 02-Сен-20, 23:09   +1 +/
А также npm и прочих овнорепозитариев, из которых делатели непроверяемого шлака тянут шлак от других писателей шлака, не проверяя.

Да и композер туда же.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #27

40. Сообщение от Онаним (?), 02-Сен-20, 23:10   +/
Физическое воздействие - это в смысле кувалдочкой по серверу?
От этого вас никакой Runkit_Sandbox не спасёт, увы.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #38

41. Сообщение от Аноним (41), 03-Сен-20, 07:48   +2 +/
Монетизировать же по-чёрному можно. Поставить майнеры, сливать и продавать часть трафика. Злоумышленник знает тонны способов. Там другое мышление, нужно быть в теме чтоб понимать как они это делают.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28

42. Сообщение от Аноним (42), 03-Сен-20, 09:13   –3 +/
Уже давно все используют BitrixVM и уязвимостей нет. ВП - прошлый век!
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #44, #50

43. Сообщение от Аноним (20), 03-Сен-20, 19:46   +/
Grav/Gantry5
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24

44. Сообщение от Аноним (45), 03-Сен-20, 20:56   +/
Вордпресс конечно старый, но домохозяйки его наворачивать не перестанут. Напротив, количество сайтов на вордпрессе только растёт, а хостинги автоматически устанавливают в 2 клика.
Золотая жила для хацкеров.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #42 Ответы: #48

45. Сообщение от Аноним (45), 03-Сен-20, 21:00   +/
Там насколько понимаю внедрение в admin-ajax происходит. А это что-то типа права рута в вордпрессе, через него например авторизация учётки админа происходит, который решает что установить, залить, где какой код поправить.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35

46. Сообщение от Michael Shigorinemail (ok), 04-Сен-20, 00:44   +1 +/
> ВП-то тут причем?

Ну как бы почётный участник чемпионата, можно сказать, завсегдатай высшей лиги.  По дырам, правда.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12

47. Сообщение от Аноним (47), 04-Сен-20, 06:47   +2 +/
Как можно употреблять слова "молодое и прогрессивное" и "wordpress и Joomla" в одном предложении ))
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29

48. Сообщение от Аноним (20), 04-Сен-20, 15:23   +/
HDD дисков скоро не хватит на все эти Wordpress
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #44

49. Сообщение от Michael Shigorinemail (ok), 04-Сен-20, 15:58   +/
> И зачем тут это кусок удобрения?

Ну старается же человек, в соседней новости вон пытается на "сижку" хвост задирать...

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23

50. Сообщение от Michael Shigorinemail (ok), 07-Сен-20, 12:46   +/
> Уже давно все используют BitrixVM

Шо, даже у вас на японщине в аниме-студии, интересующейся fheroes2? ;-]

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #42


Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2020 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру