V populární WordPressové šabloně OptimizePress byla objevena kritická zranitelnost

Zdroj: SOOM.cz [ISSN 1804-7270]
Autor: ScheRas
Datum: 1.12.2013
Hodnocení/Hlasovalo: 0/0

V nebezpečí je tak tísíce stránek používajících tuto šablonu.

Zranitelnost se nachází v souboru wp-content/themes/OptimizePress/lib/admin/media-upload.php. Stránka umožňuje útočníkovi nahrát na server soubor jakéhokoliv typu. Po nahrání se soubor uloží do složky /wp-content/uploads/optpress/images_comingsoon/, která ještě ke všemu neobsahuje žádný soubor .htaccess ani index.php, takže při špatně nastavených pravidlech na serveru je možné procházet obsah složky.

Originální oznámení zranitelnosti

Exploit je velice jednoduchý a v současné době hojně využívaný. To potvrdil také můj rychlý průzkum, kdy jsem pomocí jednoduchého hledání zjistil více než 150 nakažených stránek. Mezi napadenými stránkami jsou i české a slovenské servery.