【安全預警】WordPress 遠程代碼執行漏洞及密碼重置漏洞通知

任何的驗證和插件的情況下就可以利用遠程執行代碼,如果利用成功,攻擊者可直接控制您的服務器,危害極大,后者未授權密碼重置漏洞在某些情況下可能允許攻擊者在未經身份驗證的情況下獲取密碼重置鏈接。

【漏洞詳情】
1)WordPress遠程代碼執行漏洞(CVE-2016-10033):影響4.6全系列版本,目前已經有公開可利用的PoC(漏洞利用程序),該漏洞主要是PHPMailer漏洞(CVE-2016-10033)在WordPress Core代碼中的體現,該漏洞不需要任何驗證和插件即可被利用,遠程攻擊者可以利用該漏洞執行代碼進而控制安裝了WordPress的站點;
2)WordPress未授權密碼重置漏洞(CVE-2017-8295): 影響WordPress Core <= 4.7.4全版本,目前已經有公開可利用的PoC(漏洞利用程序),默認情況下,該漏洞由于WordPress使用不受信任的數據,當進行密碼重置時,系統會發送相關密碼重置鏈接到所有者帳戶相關聯的電子郵件。

【漏洞風險】
WordPress遠程代碼執行漏洞:高風險,遠程代碼執行;
WordPress未授權密碼重置漏洞:中風險,具備一定的利用難度,在符合一定攻擊場景下,攻擊者可以重置任意用戶賬戶密碼;

【影響版本】
WordPress遠程代碼執行漏洞(CVE-2016-10033): 影響4.6全系列版本
WordPress未授權密碼重置漏洞(CVE-2017-8295): 影響WordPress Core <= 4.7.4全版本

【安全版本】
加固后的4.7.4版本

【修復建議】
目前WordPress官方并未發布最新更新補丁,推薦更新到最新版本或者4.7以上版本后進行安全加固,最新版本下載地址:https://wordpress.org/download/

米粒在線
  • 本文由 發表于 2017年5月4日22:27:22
  • 轉載請務必保留本文鏈接:http://www.yeahapk.com/46476.html
百科知道

無良運營商劫持網頁:教你干掉小窗、非法廣告

在中國,網頁劫持可謂是非常常見的現象。上網看著看著,突然就能被傳送到不知所謂的頁面,鋪滿各種“屠龍寶刀點擊就送”、“充值XX元就可獲得流量大禮包”之類的內容。就算不是頁面跳轉,網頁也有可能被插入額外的...
網站建設

WordPress上傳文件自動重命名

推薦兩段在上傳媒體文件時自動重命名的代碼。 ? ? ? ?代碼一,按時間重命名 上傳文件時會以“年月日時分秒+千位毫秒整數”的格式重命名文件,如“20161023122221765.jpg” ...
匿名

發表評論

匿名網友 填寫信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: