Непоправена дупка в WordPress

KISS

KISS

Active Member
Здравейте.

Имало в момента дупка в сигурността на WordPress, която позволява на всеки който може да качва файлове (ниво автор) да изтрие всеки файл, включително wp-config.php. Така може да направи инсталацията на ново с негови данни и да получи пълен достъп.

Допълнителна информация:
https://blog.ripstech.com/2018/wordpress-file-delete-to-code-execution/
https://www.bleepingcomputer.com/news/security/unpatched-flaw-disclosed-in-wordpress-cms-core/

Плъгин който решава проблема временно докато го оправят:
https://github.com/kkarpieszuk/rips_hotfix

Ако нямате други потребители освен вашия и са забранени регистрациите, нямате проблем.

Поздрави.
 
Регистрациите не са ли автоматично на ниво Потребител?
 
Последно редактирано:
@scorebg
Хмм, не знам. В първия линк има превю как се прави, но стигат само до прозореца, в който се въвеждат данни за базата.

@TheEntrepreneur
Да, по подразбиране са така.
 
TheEntrepreneur каза:
Регистрациите не са ли автоматично на ниво Потребител?
Увеличете...
Точно така, на ниво Потребител са, освен ако не е упоменато изрично! И повечето Уордпрес сайтове така или иначе са няк'ви Корпоративни сайтчета, не са за Новини или Портали. С изключени опции за рег са демек. В смисъл, колко луд трябва да е човек да изгради новинарски на Уордпрес. Ше ме извиняват Девьелопьерчетата!

@KISS
Иначе мерси за файнд-а, ама ако бях на твое място, щях да го сложа това в Спойлер. Да не се вижда от всеки, да не се индексира и да не изскача по търсачките! Все още имам останал морал, затова те съветвам да скриеш тая дупка да не я чете сульо и пульо, за да не пострадат хора заради теб! Колко му е някое хлапе да ти прочете поста и да тръгне да думва рандом сайтове. Не всеки си обновява Уордпреса редовно. Не всеки разбира от сигурност.

Даже бих те съветвал, скрий целия текст, промени си заглавието, ползвай някакъв синоним на "дупка", въобще направи го така ние да го разберем, но не и външни лица. А първото ти изречение "Имало в момента дупка в сигурността на WordPress" — смени го с нещо като "Проблематика с Уордпрес", или защо не "Намерих проблемче с Уордпрес".

Со здравjе!
 
Последно редактирано:
Трябва да си влезнал или регистриран, за да отговориш тук.

Горе