admin 
Buvo išduotas patarimas dėl trijų „WordPress“ failų valdymo papildinių, kuriems įtakos turi pažeidžiamumas, leidžiantis neautentifikuotiems užpuolikams ištrinti savavališkus failus. Trys papildiniai yra įdiegti daugiau nei 1,3 milijono svetainių.
Pasenusi „Elfinder“ versija
Pažeidžiamumą sukelia pasenusios „Elfinder“ failų tvarkyklės versijos, ypač 2.1.64 ir ankstesnės versijos. Šiose versijose yra katalogo apvažiavimo pažeidžiamumas, leidžiantis užpuolikams manipuliuoti failų keliais, kad pasiektų numatytą katalogą. Siunčiant užklausas su tokiomis sekomis kaip Pavyzdys.com/../../../../užpuolikas galėtų padaryti „File Manager“ prieigą ir ištrinti savavališkus failus.
Paveikti papildiniai
„WordFence“ pavadino šiuos tris papildinius, kuriuos paveikė šis pažeidžiamumas:
1. Failų tvarkyklės „WordPress“ papildinys
Instaliacijos: 1 milijonas
2. Išplėstinis failų tvarkyklė – „Ultimate WP File Manager“ ir dokumentų bibliotekos sprendimas
Instaliacijos: 200 000+
3. File Manager Pro – „Filester“
Instaliacijos: 100 000+
Remiantis „WordFence Advisory“, pažeidžiamumą galima išnaudoti be autentifikavimo, tačiau tik tuo atveju, jei svetainės savininkas padarė failų valdytoją viešai prieinamą, o tai sumažina išnaudojimo galimybę. Beje, du iš papildinių jų „Changelogs“ nurodė, kad užpuolikui reikia bent abonento lygio autentifikavimo – žemiausio svetainės kredencialų lygio.
Pasinaudojus trūkumu leido ištrinti savavališkus failus. Pavadintų „WordPress“ papildinių vartotojai turėtų apsvarstyti galimybę atnaujinti naujausias versijas.
Pateiktas „Shutterstock“/„Lili1992“ vaizdas
