Poważny błąd we wtyczkach do WordPress’a

Dziura znana od miesiąca…
Luka odkryta w pluginach WP Super Cache i W3TC fachowo nazywa się RCE (Remote Code Execution). Odkrył ją i w szczegółach opisał już miesiąc temu użytkownik kisscsaby, ale dopiero od 5 dni dostępne są aktualizacje wtyczek.
Aby sprawdzić, czy atak jest możliwy na naszym serwerze, należy w komentarzach dodać następującą treść:
<!–mfunc echo PHP_VERSION; –><!–/mfunc–>
Jeśli komentarz jest przetwarzany przez podatną na atak wtyczkę, powinniśmy zobaczyć w jego treści wersję PHP zainstalowaną na serwerze (ale niestety każde inne polecenie PHP także zadziała…).
Obie wtyczki służą “przyśpieszeniu” WordPressa poprzez cache’owanie i korzysta z nich około 6 milionów stron internetowych.
[ Źródło: niebiezpiecznik.pl ]
Tags: Bezpieczeństwo IT, strony www, Wordpress