【安全预警】WordPress 远程代码执行漏洞及密码重置漏洞通知

任何的验证和插件的情况下就可以利用远程执行代码,如果利用成功,攻击者可直接控制您的服务器,危害极大,后者未授权密码重置漏洞在某些情况下可能允许攻击者在未经身份验证的情况下获取密码重置链接。

【漏洞详情】
1)WordPress远程代码执行漏洞(CVE-2016-10033):影响4.6全系列版本,目前已经有公开可利用的PoC(漏洞利用程序),该漏洞主要是PHPMailer漏洞(CVE-2016-10033)在WordPress Core代码中的体现,该漏洞不需要任何验证和插件即可被利用,远程攻击者可以利用该漏洞执行代码进而控制安装了WordPress的站点;
2)WordPress未授权密码重置漏洞(CVE-2017-8295): 影响WordPress Core <= 4.7.4全版本,目前已经有公开可利用的PoC(漏洞利用程序),默认情况下,该漏洞由于WordPress使用不受信任的数据,当进行密码重置时,系统会发送相关密码重置链接到所有者帐户相关联的电子邮件。

【漏洞风险】
WordPress远程代码执行漏洞:高风险,远程代码执行;
WordPress未授权密码重置漏洞:中风险,具备一定的利用难度,在符合一定攻击场景下,攻击者可以重置任意用户账户密码;

【影响版本】
WordPress远程代码执行漏洞(CVE-2016-10033): 影响4.6全系列版本
WordPress未授权密码重置漏洞(CVE-2017-8295): 影响WordPress Core <= 4.7.4全版本

【安全版本】
加固后的4.7.4版本

【修复建议】
目前WordPress官方并未发布最新更新补丁,推荐更新到最新版本或者4.7以上版本后进行安全加固,最新版本下载地址:https://wordpress.org/download/

米粒在线
  • 本文由 发表于 2017年5月4日22:27:22
  • 转载请务必保留本文链接:https://www.miliol.org/46476.html
网站建设

为了WordPress运行效率翻倍我用Cyberpanel替代了宝塔面板

因为我的博客最近这段时间总是莫名其妙的卡成狗,用的是应该是某个插件的原因,正好许久没折腾了就追求刺激,准备重新使用我以前心心恋恋的 openlitespeed,当初测试在都安装插件的情况下 NGINX...
网站建设

WordPress 在 NGINX 和 Litespeed 下的性能对比测试

都说 Wordpress 在 litespeed下的表现要好于 NGINX,但是很少看到有人做测试,于是我来做一个对比测试 测试平台 主机:腾讯云轻量HK1C2G 版 WordPress...
匿名

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: