Sårbarhet ved kommandoinjeksjon funnet i WordPress Plainview Activity Monitor v20161228 og Prior

WordPress

Det er funnet et sikkerhetsproblem med kommandainjeksjon i den anerkjente personlige blogging- og nettstedskapingsplattformen: WordPress. Det er funnet at det eksisterer en sårbarhet i Plainview Activity Monitor WordPress Plugin-komponenten, og den har fått en CVE-identifikator for CVE-2018-15877.

Sårbarheten ved kommandainjeksjonen som finnes i Plainview Activity Monitor-plugin for WordPress, gjør det med en alvorlig risiko for å sørge for at en ekstern angriper utfører kommandoer på et hacket system på lang avstand. De ondsinnede kommandoene som er injisert, kaster uegnet data i strømmen av tjenesten, spesielt gjennom IP-parameteren og inn i aktiviteter_overview.php.

Denne sårbarheten ved kommandainjeksjon i nevnte komponent kan ikke fjernutnyttes på egenhånd. Dessverre lider den samme komponenttillegget på WordPress av to andre sårbarheter: et sikkerhetsproblem med CSRF-angrep og et reflektert sårbarhet på tvers av nettsteder. Når alle disse tre sårbarhetene fungerer hånd i hånd for å bli utnyttet sammen, kan en angriper eksternt utføre kommandoer på en annen brukers system, noe som gir unødig og uautorisert tilgang til brukerens private data.

I følge de undersøkte detaljene som ble utgitt av WordPress, ble sårbarheten først oppdaget den 25^thaugust i år. En CVE-identifikasjonsmerke ble bedt om samme dag, og deretter ble sikkerhetsproblemet rapportert til WordPress dagen etter som en del av en obligatorisk varsel fra leverandøren. WordPress var rask på beina for å gi ut en ny versjon for plugin-komponenten, versjon 20180826. Denne nye versjonen forventes å løse sikkerhetsproblemet som ble funnet å eksistere i versjoner 20161228 og eldre av Plainview Activity Monitor-plugin.

Denne sårbarheten ble grundig diskutert og beskrevet i et innlegg på GitHub der et bevis på konseptet for potensiell korrelert utnyttelse også blir gitt. For å redusere risikoen, blir WordPress-brukere oppfordret til å oppdatere systemene sine til at den nyeste versjonen av Plainview Activity Monitor-programtillegget er i bruk på systemene deres.