阿里云
阿里云多端小程序中小企业获客首选
发表主题 回复主题
  • 2438阅读
  • 2回复

[安全漏洞公告专区]【漏洞公告】CVE-2016-10033:WordPress 未授权远程代码执行漏洞

级别: 论坛版主
发帖
241
云币
478
2017年5月3日,开源CMS软件WordPress被曝出多个漏洞,其中一个高危漏洞可以远程执行任意代码,从而获取服务权限。 #0<XNLM  
具体详情如下:                                  E*lxVua  
                        
漏洞编号: 1.>m@Slr>  
CVE-2016-10033 .]K%G\*`:  
漏洞名称: @}ZVtrz  
WordPress 未授权远程代码执行漏洞 wgA_38To  
官方评级: p K$`$H  
高危 [-x7_=E#  
漏洞描述: 47B&s   
该漏洞存在于广泛使用的PHPMailer mail()函数功能,通过该功能可以运行构造的恶意代码,触发该漏洞从而导致获取系统权限。 oL<St$1  
漏洞利用条件和方式: }GIt!PG  
系统必须要安装Exim4环境下,远程攻击者可以直接利用该漏洞攻击成功。 2Z%O7V~u  
漏洞影响范围: o !7va"  
  • WordPress <4.7.1
  • PHPMailer <5.2.20
}K9H^H@r!  
漏洞检测: d d;T-wa}  
  • 检查WordPress是否在受影响版本内
  • 检查PHPMailer版本:打开wordpress/wp-includes/class-php-mailer.php文件查看对应的PHPMailer版本
eV~goj  
漏洞修复建议(或缓解措施): @%SQFu@FJ  
  • 目前已经公开了POC,官方公告 已经宣称在4.7.1版本已经修复该漏洞,强烈建议用户尽快升级到最新版4.7.4,[font=PingFangSC, &amp],升级方案参见WordPress官方帮助文档  ;
  • 如果短期内无法升级wordpress版本,建议您尽快关闭wordpress邮件发送功能。
K> e7pu  
情报来源: &c #N)U  
  • https://cxsecurity.com/issue/WLB-2017050014
  • https://wordpress.org/news/2017/01/wordpress-4-7-1-security-and-maintenance-release/
3 gf1ownC  
`$NP> %J-  
:v 4]D4\o  
4GM6)"#d  
XX~,>Q}H=  
,u!sjx  
[ 此帖被正禾在2017-05-05 13:15重新编辑 ]
级别: 小白
发帖
18
云币
33
只看该作者 沙发  发表于: 2017-05-04
Re【漏洞公告】CVE-2016-10033WordPress 未授权远程代码执行漏洞
老大,有错别字。 |7Kbpj  
y> (w\K9W  
漏洞描述倒数三个字……
级别: 论坛版主
发帖
241
云币
478
只看该作者 板凳  发表于: 2017-05-04
回 1楼(送小孩) 的帖子
感谢提示!
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
如果您提交过一次失败了,可以用”恢复数据”来恢复帖子内容
 
验证问题: 阿里云官网域名是什么? 正确答案:www.aliyun.com
上一个 下一个
      ×
      全新阿里云开发者社区, 去探索开发者的新世界吧!
      一站式的体验,更多的精彩!
      通过下面领域大门,一起探索新的技术世界吧~ (点击图标进入)