阿里云
发表主题 回复主题
  • 5544阅读
  • 8回复

[安全漏洞公告专区]【漏洞公告】WordPress存储型XSS漏洞

级别: 论坛版主
发帖
234
云币
459
— 本帖被 不靠谱贝贝 执行提前操作(2017-10-20) —
2017年10月19日,阿里安全威胁情报系统监测到WordPress 官方发布了一条安全通告表示在4.8.1版本中发现了一个存储型的XSS漏洞,通过该漏洞,攻击者可以在受影响网站的评论区写下包含恶意代码的留言,当该留言页面被打开时,其中的恶意代码会执行,导致该网站的权限,插件等被更改,甚至被完全控制,安全风险为高危。 ',=g;  
阿里云安全建议站长们关注,并尽快开展查工作,及时更新WordPress。  .\:J~(  
具体详情如下:                                  2A:,;~UH  
                                              
漏洞编号: uGVy6,  
暂无 u8L$]vOg  
漏洞名称: KZ:hKY@q  
WordPress储存型XSS漏洞 (< c7<_-H  
官方评级: WO*9+\[v  
高危 G| m4m.  
漏洞描述: } cNW^4F  
该漏洞影响WordPress4.8.1版本,攻击者可以未授权通过WordPress的评论注入JavaScript攻击代码。评论被查看的时候,JavaScript就触发了。如果管理员登陆查看评论触发后,可能导致攻击者进入后台通过主题或插件编辑从而命令执行控制整个服务,安全风险为高危 [\e@_vY@OH  
漏洞利用条件和方式: z\!K<d"Xv  
远程利用 g@ith&*=h  
PoC状态: ip:LcGt  
目前PoC已经公开 =;L*<I  
漏洞影响范围: qUJ aeQ  
受影响的版本 WordPress 4.8.1 F"jt&9jg  
不受影响的版本 WordPress 4.8.2 [2c{k  
漏洞检测: LHYLC>J  
开发或运维人员排查是否使用了受影响版本范围内的WordPress。 zu\`1W^  
漏洞修复建议(或缓解措施): t ?eH'*>  
  • 目前已经发布最新版本4.8.2 ,建议用户登录到面板点击“更新升级"修复该漏洞;
  • 阿里云WAF 支持该漏洞防御。
情报来源: f'Mop= .  
  • https://blog.sucuri.net/2017/09/stored-cross-site-scripting-vulnerability-in-wordpress-4-8-1.html
  • https://wordpress.org/news/2017/09/wordpress-4-8-2-security-and-maintenance-release/
a2@c%i  
小科普: 42C<1@>zO  
存储型XSS漏洞是什么? /Lf6WMit  
存储型XSS漏洞具有持久化,被插入的恶意代码是存储在服务器中的,如:在个人信息或发表文章等地方,如果没有过滤或过滤不严,那么这些代码将储存到服务器中,用户访问该页面的时候触发代码执行,这种存储类型的XSS漏洞安全风险很高,容易造成蠕虫,盗窃cookie等。 D-p.kA3MJ  
反射型XSS漏洞是什么? } p:%[  
反射型XSS,它具有非持久化特性,需要欺骗用户自己去点击(用户交互)链接才能触发XSS代码(服务器中没有这样的页面和内容),一般容易出现在搜索页面。 "&+3#D >  
|V,<+BEi  
A;X=bj _&a  
qSU| =  
[ 此帖被正禾在2017-10-23 17:42重新编辑 ]
级别: 论坛版主
发帖
15612
云币
33141

只看该作者 沙发  发表于: 2017-10-20
现在博客基本上都关闭了留言功能。 Fk&W*<}/;  
具体原因,你懂的。
善用阿里云帮助文档。
级别: 小白
发帖
21
云币
45
只看该作者 板凳  发表于: 2017-10-23
Re【漏洞公告】WordPress储存型XSS漏洞
级别: 新人
发帖
3
云币
18
只看该作者 地板  发表于: 2017-10-24
Re【漏洞公告】WordPress存储型XSS漏洞
为了配合十九大的顺利召开,博客已经关闭留言功能了
级别: 新人
发帖
2
云币
2
只看该作者 4楼 发表于: 2017-10-25
Re【漏洞公告】WordPress存储型XSS漏洞
级别: 小白
发帖
46
云币
47
只看该作者 5楼 发表于: 2017-10-29
Re【漏洞公告】WordPress存储型XSS漏洞
我的9月份就已经更新到4.8.2了,这个发布的太晚了吧。
级别: 小白
发帖
42
云币
53
只看该作者 6楼 发表于: 2017-11-02
Re【漏洞公告】WordPress存储型XSS漏洞
PoC状态
级别: 小白
发帖
24
云币
24
只看该作者 7楼 发表于: 2017-11-14
Re【漏洞公告】WordPress存储型XSS漏洞
购买阿里云服务器使用券,享官网全部优惠,更可获得幸运降临,抽取实物大奖: https://promotion.aliyun.com/ntms/act/ambassador/sharetouser.html?userCode=kzp4uq6k
[ 此帖被chinaglwo在2017-11-14 23:23重新编辑 ]
级别: 新人
发帖
9
云币
11
只看该作者 8楼 发表于: 2017-11-17
Re【漏洞公告】WordPress存储型XSS漏洞
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
如果您提交过一次失败了,可以用”恢复数据”来恢复帖子内容
 
验证问题: ECS是阿里云提供的什么服务? 正确答案:云服务器
上一个 下一个