Команда Wordfence Threat Intelligence обнаружила две уязвимости в плагине WordPress Download Manager, который используется для улучшения страниц скачивания файлов в WP. Как показывает статистика WordPress.org, плагин используют более 100 тысяч сайтов.
Первая уязвимость может эксплуатироваться для аутентифицированного обхода каталога (Directory traversal). В WordPress Download Manager уже была встроена защита против этой атаки, но ее оказалось недостаточно. В итоге пользователь, имеющий более низкие права доступа по сравнению с администратором (допустим, участник), мог получить содержимое wp-config.php путем скачивания файлов и выполнения обхода каталога с помощью параметра file[page_template].
В итоге достаточно было сделать превью загрузки файлов, чтобы увидеть содержимое wp-config.php в исходном коде страницы.
Содержимое файла, заданное в параметре file[page_template], выводилось в исходном коде страницы. Так как контент файла выводился на странице, пользователь с правами автора мог загрузить файл с расширением изображения, содержащим вредоносный JS-код, и в качестве параметра file[page_template] установить путь к загруженному файлу. Соответственно, JS-код будет выполняться всякий раз при просмотре страницы (XSS). Несмотря на то, что оценка этой уязвимости по шкале CVSS составляет всего 6.5, ее можно использовать для захвата сайта путем получения учетных данных от БД или путем выполнения JS-кода в браузере администратора.
Ранее в WordPress Download Manager уже была исправлена уязвимость, позволяющая авторам и другим пользователям с полномочиями upload_files загружать файлы с расширением php4, а также другие потенциально опасные исполняемые файлы. При этом патч, который был поставлен, проверял только последнее расширение файла. Соответственно, все еще оставалась возможность выполнить атаку «двойного расширения» путем загрузки файла с несколькими расширениями. К примеру, можно было загрузить файл info.php.png. В определенных конфигах Apache/mod_php этот файл может стать исполняемым (если используются директивы AddHandler или AddType).
Эта уязвимость также была пропатчена. Несмотря на более высокую оценку опасности CVSS для этой уязвимости, вероятность ее использования в реальности гораздо ниже из-за наличия файла .htaccess в каталоге загрузок, что существенно усложняет выполнение любых загруженных файлов.
Уязвимости охватывают все версии плагина WordPress Download Manager вплоть до 3.1.24 включительно. Пропатченная версия – 3.1.25 и выше.
Источник: www.wordfence.com