Хакеры активно используют уязвимость, которая позволяет выполнять команды и вредоносные скрипты на сайтах с плагином File Manager. Это плагин для WordPress, у которого более 700000 активных установок. Специалисты по информационной безопасности сообщили об этом во вторник через несколько часов после того, как было выпущено обновление плагина.

Злоумышленники используют эксплоит для загрузки файлов с веб-оболочками внутри изображения. Дальше удобный интерфейс позволяет им запускать команды по адресу plugins/wp-file-manager/lib/files/, где располагается этот плагин. Невозможно запускать команды за пределами директории, но можно загружать скрипты для выполнения действий в других частях сайта.

Таиландская компания NinTechNet сообщила об атаке в числе первых. Один из хакеров загружал скрипт в файле hardfork.php и через него внедрял код в скрипты WordPress /wp-admin/admin-ajax.php и /wp-includes/user.php.

Хакеры внедряют код для запрета доступа к уязвимому сайту connector.minimal.php при помощи пароля, чтобы закрыть доступ для других хакеров. В папке /lib/files можно создавать новые папки, удалять файлы и т.д. Главная же проблема заключается в загрузке скриптов для запуска на сайте.

Другая компания Wordfence пишет в своём блоге, что только за последние несколько дней заблокировала более 450000 попыток использовать эксплоит. Внедрялись файлы с названиями вроде hardfork.php, hardfind.php, x.php.

Уязвимость есть в версиях File Manager от 6.0 до 6.8. На их долю приходится около 52% установок данного плагина. Администраторам сайтов рекомендуется как можно скорее обновить плагин для версии 6.9.