按 Enter 到主內容區
:::

TWCERT/CC台灣電腦網路危機處理暨協調中心

:::

WordPress File Manager 擴充套件含有嚴重 0-day 資安漏洞,約七十萬個網站曝險

發布日期:
字型大小:
  • 發布單位:TWCERT/CC
  • 更新日期:2020-09-07
  • 點閱次數:2126
WordPress File Manager 擴充套件含有嚴重 0-day 資安漏洞,約七十萬個網站曝險 TWCERT/CC

資安廠商 Wordfence 於日前發表研究報告,指出一個使用相當廣泛的 WordPress 擴充套件「File Manager」,含有一個嚴重的 0-day 資安漏洞;駭侵者可透過此漏洞遠端執行任意程式碼。

File Manager 是個可讓 WordPress 管理者更方便地管理網站內檔案的擴充套件;為達到此一目的,File Manager 使用了一個叫做 elFinder 的程式庫,該漏洞就發生在 File Manager 為了直接執行 php 程式碼而修改了 elFinder 中的 connector.minimal.php.dist 檔名為 connector.minimal.php,而這個檔案實際上並無作用,而且也未設有任何存取限制,導致駭侵者可以利用這個漏洞植入惡意程式碼。

據 Wordfence 的報告指出,這個 0-day 漏洞主要影響的 File Manager 版本為 6.0 到 6.8,其 CVSS 危險評分高達滿分的 10.0 分。

據估計,安裝了 File Manager 的 WordPress 網站約有七十萬個;File Manager 的開發者也已釋出資安修補更新版本;用戶只要將 File Manager 擴充套件升級到 6.9 版即可。

  • 影響產品/版本:File Manager 6.0 到 6.8
  • 解決方案:升級至 File Manager 6.9 以上版本
回頁首