合买网:【安全預警】WordPress 遠程代碼執行漏洞及密碼重置漏洞通知

  • A+

贴吧上上签合买的彩票怎么看 www.diexqb.com.cn 任何的驗證和插件的情況下就可以利用遠程執行代碼,如果利用成功,攻擊者可直接控制您的服務器,危害極大,后者未授權密碼重置漏洞在某些情況下可能允許攻擊者在未經身份驗證的情況下獲取密碼重置鏈接。

【漏洞詳情】
1)WordPress遠程代碼執行漏洞(CVE-2016-10033):影響4.6全系列版本,目前已經有公開可利用的PoC(漏洞利用程序),該漏洞主要是PHPMailer漏洞(CVE-2016-10033)在WordPress Core代碼中的體現,該漏洞不需要任何驗證和插件即可被利用,遠程攻擊者可以利用該漏洞執行代碼進而控制安裝了WordPress的站點;
2)WordPress未授權密碼重置漏洞(CVE-2017-8295): 影響WordPress Core <= 4.7.4全版本,目前已經有公開可利用的PoC(漏洞利用程序),默認情況下,該漏洞由于WordPress使用不受信任的數據,當進行密碼重置時,系統會發送相關密碼重置鏈接到所有者帳戶相關聯的電子郵件。

【漏洞風險】
WordPress遠程代碼執行漏洞:高風險,遠程代碼執行;
WordPress未授權密碼重置漏洞:中風險,具備一定的利用難度,在符合一定攻擊場景下,攻擊者可以重置任意用戶賬戶密碼;

【影響版本】
WordPress遠程代碼執行漏洞(CVE-2016-10033): 影響4.6全系列版本
WordPress未授權密碼重置漏洞(CVE-2017-8295): 影響WordPress Core <= 4.7.4全版本

【安全版本】
加固后的4.7.4版本

【修復建議】
目前WordPress官方并未發布最新更新補丁,推薦更新到最新版本或者4.7以上版本后進行安全加固,最新版本下載地址:https://wordpress.org/download/

發表評論

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: