Критическая уязвимость WordPress CMS CVE-2018-12895 для версий 4.9.0-4.9.6, 4.8.0-4.8.6, 4.7.0-4.7.10 и менее

Уязвимость WordPress

Критическая уязвимость WordPress CMS CVE-2018-12895 для версий 4.9.0-4.9.6, 4.8.0-4.8.6, 4.7.0-4.7.10 и менее. Немедленное исправление настоятельно рекомендуется. Затрагиваемый файл: wp-includes / post.php. Подробности:

WordPress до версии 4.9.6 позволяет пользователям Author выполнять произвольный код, используя обратный путь в каталогах в параметре большого пальца wp-admin / post.php, который передается в функцию unlink PHP и может удалить файл wp-config.php. Это связано с отсутствующей проверкой имени файла в функции wp-includes / post.php wp_delete_attachment. Злоумышленник должен иметь возможности для файлов и сообщений, которые обычно доступны только для ролей «Автор», «Редактор» и «Администратор». Методология атаки состоит в том, чтобы удалить wp-config.php, а затем запустить новый процесс установки, чтобы повысить привилегии злоумышленника.

Рекомендуется немедленное обновление WordPress

С уважение СтопВирус лечение сайтов от вирусов