阿里云
阿里云多端小程序中小企业获客首选
发表主题 回复主题
  • 2441阅读
  • 2回复

[安全漏洞公告专区]【漏洞公告】CVE-2016-10033:WordPress 未授权远程代码执行漏洞

级别: 论坛版主
发帖
241
云币
478
2017年5月3日,开源CMS软件WordPress被曝出多个漏洞,其中一个高危漏洞可以远程执行任意代码,从而获取服务权限。 q*3OWr  
具体详情如下:                                  ZZT #V%Q=u  
                        
漏洞编号: 5g7@Dj,.  
CVE-2016-10033 EnM  
漏洞名称: 9=>fx  
WordPress 未授权远程代码执行漏洞 XDemdMy$  
官方评级: ]c/E7|0Q  
高危  z% wh|q  
漏洞描述: m\`>N_4*9  
该漏洞存在于广泛使用的PHPMailer mail()函数功能,通过该功能可以运行构造的恶意代码,触发该漏洞从而导致获取系统权限。 nqyD>>  
漏洞利用条件和方式: Y$=jAN  
系统必须要安装Exim4环境下,远程攻击者可以直接利用该漏洞攻击成功。 +X=*>^G(-  
漏洞影响范围: R*[sO*h\k  
  • WordPress <4.7.1
  • PHPMailer <5.2.20
dkC[SG`  
漏洞检测: }D#: NlMp  
  • 检查WordPress是否在受影响版本内
  • 检查PHPMailer版本:打开wordpress/wp-includes/class-php-mailer.php文件查看对应的PHPMailer版本
UHZuH?|@  
漏洞修复建议(或缓解措施): 1F@j?)(  
  • 目前已经公开了POC,官方公告 已经宣称在4.7.1版本已经修复该漏洞,强烈建议用户尽快升级到最新版4.7.4,[font=PingFangSC, &amp],升级方案参见WordPress官方帮助文档  ;
  • 如果短期内无法升级wordpress版本,建议您尽快关闭wordpress邮件发送功能。
` =>}*GS  
情报来源: VzP az\e  
  • https://cxsecurity.com/issue/WLB-2017050014
  • https://wordpress.org/news/2017/01/wordpress-4-7-1-security-and-maintenance-release/
=>$)F 4LW  
|?!i},Ki;  
}|DspO  
X94a  
T }#iXgyx  
R BYhU55B  
[ 此帖被正禾在2017-05-05 13:15重新编辑 ]
级别: 小白
发帖
18
云币
33
只看该作者 沙发  发表于: 2017-05-04
Re【漏洞公告】CVE-2016-10033WordPress 未授权远程代码执行漏洞
老大,有错别字。 2Rk}ovtD[  
 ;l$$!PJ  
漏洞描述倒数三个字……
级别: 论坛版主
发帖
241
云币
478
只看该作者 板凳  发表于: 2017-05-04
回 1楼(送小孩) 的帖子
感谢提示!
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
如果您在写长篇帖子又不马上发表,建议存为草稿
 
验证问题: 阿里云官网域名是什么? 正确答案:www.aliyun.com
上一个 下一个
      ×
      全新阿里云开发者社区, 去探索开发者的新世界吧!
      一站式的体验,更多的精彩!
      通过下面领域大门,一起探索新的技术世界吧~ (点击图标进入)