阿里云
云栖社区2017年度颁奖盛典
发表主题 回复主题
  • 6717阅读
  • 2回复

[安全漏洞公告专区]【漏洞公告】WordPress全版本WPDB SQL注入漏洞

级别: 论坛版主
发帖
199
云币
369
2017年10月30日,WordPress官方发布4.8.3版本修复了一个重要的SQL注入漏洞,该漏洞由于WordPress中$wpdb编码不规范,导致可以接收和执行不安全的查询,导致潜在的SQL注入,存在高安全风险。 s;vt2>;q+e  
具体详情如下:                                                                                                                                                
漏洞编号: B'yjMY![  
暂无 Q5ASN"_  
漏洞名称: H,% bKl#  
WordPress全版本WPDB SQL注入漏洞 7fR5V  
官方评级: Jw]!x1rF~  
高危 0f@+o}i=)  
漏洞描述: JK! (\Ae.  
WordPress版本4.8.2及之前版本受到该漏洞的影响: $wpdb->prepare()可以接收和执行不安全的查询,导致潜在的SQL注入(SQLi)。 > Z+*tq  
WordPress核心并不容易直接受到这个漏洞的影响。 6BV 6<PHJ  
漏洞利用条件和方式: #|sE]\bsH  
通过PoC直接远程利用。 E*YmHJ:k  
PoC状态: LQ~|VRRX<  
未公开 "B3jq^  
漏洞影响范围: {]dxFhe)  
WordPress <4.8.3版本 ?,$:~O* w  
漏洞检测: ) h]+cGM  
开发人员检查是否使用了受影响版本范围内的WordPress。 d ~ M;  
漏洞修复建议(或缓解措施): 4FaO+Eo,8  
  • WordPress官方已经发布最新版本,推荐升级官方最新版本WordPress 4.8.3 ,用户可以通过点击后台的仪表盘->更新。
  • 可以使用云盾WAF 进行入侵防御,防止发生安全事件。
4V:W 8k 9D  
情报来源: +^BTh rB  
p(RF   
toY_1  
gCg hWg{S  
|.c4y*  
 LgF?1?  
.eN"s'  
Ar>B_*dr  
3 P0z$jh"H  
:gsRJy1  
"bej#'M#  
@{@b^tk  
JzEg`Sn^  
}uDpf0;^  
vGi<" Sn7  
;> 7~@ K  
~m fG Yk"  
5 SQ!^1R 9  
RZxh"lIo  
,It0brF  
4(htdn6\  
 8~T}BC  
;.jj>1=Tnl  
q#j[0,^ $  
)y] Dmm  
JcRxNH )<"  
{U-z(0  
2}<tzDI'  
mZU L}[xf  
,xU#uyB  
.+>fD0fW7Y  
k:n{AoUc  
^X_ ;ZLg.  
;8#6da,  
y3j$?o M  
1!1,{\9%  
y={ k7  
!9gpuS[  
#TUm&2 +V  
+ _ehzo97  
MNU7OX<  
e}O&_ j-  
]pNM~,  
H`<u2fo|p  
}vZfp5Y  
bh" Caz.(t  
lYe2;bu  
3K(/=  
<O) if^  
0F uj-q  
MuO(%.H  
,6y.wNb:F  
vy [7I8f{  
Up-^km  
[ 此帖被正禾在2017-11-01 11:08重新编辑 ]
级别: 小白
发帖
31
云币
32
只看该作者 沙发  发表于: 11-05
Re【漏洞公告】WordPress全版本WPDB SQL注入漏洞
尚没有中文版。
级别: 小白
发帖
23
云币
23
只看该作者 板凳  发表于: 11-14
Re【漏洞公告】WordPress全版本WPDB SQL注入漏洞
购买阿里云服务器使用券,享官网全部优惠,更可获得幸运降临,抽取实物大奖: https://promotion.aliyun.com/ntms/act/ambassador/sharetouser.html?userCode=kzp4uq6k
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
如果您在写长篇帖子又不马上发表,建议存为草稿
 
验证问题: 阿里云官网域名是什么? 正确答案:www.aliyun.com
上一个 下一个