按 Enter 到主內容區
:::

TWCERT/CC台灣電腦網路危機處理暨協調中心

:::

WordPress 擴充套件 wp-file-manager 漏洞,遭大規模用於駭侵攻擊

發布日期:
字型大小:
  • 發布單位:TWCERT/CC
  • 更新日期:2020-11-06
  • 點閱次數:2058
WordPress 擴充套件 wp-file-manager 漏洞,遭大規模用於駭侵攻擊 TWCERT/CC

WordPress 上廣為使用的檔案管理擴充套件 wp-file-manager,日前遭發現一個嚴重資安漏洞,可能遭駭侵者用以遠端執行任意程式碼;該漏洞已遭駭侵者用以大規模發動攻擊,使用此擴充套件的 WordPress 管理者,應儘速更新以避免遭此漏洞影響。

這個漏洞出現在 The File Manager 處理檔案上傳使用的 connetor.mininal.php 程式碼中,這段程式碼可在未經授權的情形下存取,駭侵者因此可以上傳任意檔案到 WordPress 伺服器,遠端執行任意程式碼。

這個漏洞編號為 CVE-2020-25213,其 CVSS 危險程度評分高達 9.8 分。據資安專家指出,該漏洞在八月底開始遭到駭侵者用以攻擊 WordPress 伺服器,在八月最後一周,每天偵測到的攻擊次數超過 15,000 次。

存有此漏洞的 wp-file-manager 版本分別為:

  • File Manager Plugin for WordPress 6.0 至 6.8
  • File Manager Pro Plugin for WordPress 7.6 至 7.8

The File Manager 總下載次數超過 600,000 次,其開發者已於九月初提供升級版本供用戶下載,解決了這個嚴重漏洞。任何 The File Manager 用戶均應盡速下載更新至最新版本(目前為 6.9 版),以避免此漏洞帶來的資安風險。

  • CVE編號:CVE-2020-25213
  • 影響產品/版本: File Manger 6.0~6.8、File Manager Pro 7.6~7.8
  • 解決方案:升級至最新版本
回頁首