阿里云
阿里云多端小程序中小企业获客首选
发表主题 回复主题
  • 4121阅读
  • 5回复

[安全漏洞公告专区]【漏洞公告】CVE-2017-8295:WordPress Core <= 4.7.4全版本密码重置漏洞

级别: 论坛版主
发帖
241
云币
478
2017年5月3日,开源CMS软件WordPress被曝出所有版本存在密码重置漏洞,该漏洞风险较高,可能存在数据泄露的风险。 2o0WS~}5  
具体详情如下:                                  1Msc:7:L  
                          
漏洞编号: )fc+B_  
CVE-2017-8295 d ?,wEfwp  
漏洞名称: Z$K[e  
WordPress Core <= 4.7.4全版本 F[0w*i&u5  
官方评级: \Iz-<:gA'  
高危 p4Xhs@.k  
漏洞描述: BM02k\%  
Wordpress的密码重置功能存在漏洞在某些情况下可能允许攻击者在未经身份验证的情况下获取密码重置链接,这种攻击可导致攻击者获得未经授权的WordPress帐户访问权限,从而造成数据泄露风险。 rX|{nb  
漏洞利用条件和方式: q9(hn_X@/  
直接远程利用 Ntpw(E<$f  
漏洞影响范围: 9]a!1  
WordPress Core <= 4.7.4 .gw6W0\F  
漏洞检测: F'njtrO3  
z s[zB#  
漏洞修复建议(或缓解措施): #2qv"ntW  
  • 目前官方官方发布最新版本,建议持续关注wordpress官方最新信息
  • 如果您使用Apache 可以指定ServerName 为您网站域名同时启用Apache的UseCanonicalName功能,以缓解该漏洞带来的风险;
    1. UseCanonicalName On
  • Web中间件为Nginx不受此漏洞影响。
(gUxS.zU  
情报来源: i0[mU,  
  • https://w3techs.com/technologies/details/cm-wordpress/all/all
  • https://exploitbox.io/vuln/WordPress-Exploit-4-7-Unauth-Password-Reset-0day-CVE-2017-8295.html
3O?[Yhk`.  
p@+D$  
l>@){zxL  
xx[l#+:c  
U~<~>^[  
h x hl  
oBWa\N  
/#e-x|L  
r} a,  
;VPYWss  
[ 此帖被正禾在2017-05-04 22:45重新编辑 ]
级别: 小白
发帖
18
云币
33
只看该作者 沙发  发表于: 2017-05-04
Re【漏洞公告】CVE-2017-8295WordPress Core4.7.4全版本密码重置漏洞
漏洞修复建议(或缓解措施):    =E:a\r  
目前官方暂未发布最新版本,建议持续关注wordpress官方最新版本信息。
级别: 新人
发帖
11
云币
34
只看该作者 板凳  发表于: 2017-05-05
Re【漏洞公告】CVE-2017-8295WordPress Core4.7.4全版本密码重置漏洞
可怕
级别: 新人
发帖
3
云币
4
只看该作者 地板  发表于: 2017-05-05
Re【漏洞公告】CVE-2017-8295WordPress Core4.7.4全版本密码重置漏洞
这个问题首先向WordPress安全团队多次报道,第一份报告于2016年7月发送。 LP:F'Q:<  
31=v US  
由于这种情况没有进展,没有官方补丁,开始向公众发布。 %r >Y)@$Vt  
mr\C  
这漏洞貌似执行条件比较苛刻
级别: 新人
发帖
1
云币
1
只看该作者 4楼 发表于: 2017-05-05
Re【漏洞公告】CVE-2017-8295WordPress Core4.7.4全版本密码重置漏洞
版主贴错了吧 咋两个混一起了?
级别: 论坛版主
发帖
241
云币
478
只看该作者 5楼 发表于: 2017-05-08
回 4楼(tim2) 的帖子
您好,这是两个完全不同的漏洞。
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
批量上传需要先选择文件,再选择上传
 
验证问题: 23 + 56 = ?
上一个 下一个
      ×
      全新阿里云开发者社区, 去探索开发者的新世界吧!
      一站式的体验,更多的精彩!
      通过下面领域大门,一起探索新的技术世界吧~ (点击图标进入)