阿里云
发表主题 回复主题
  • 10223阅读
  • 3回复

[安全漏洞公告专区]【漏洞公告】WordPress全版本WPDB SQL注入漏洞

级别: 论坛版主
发帖
240
云币
472
2017年10月30日,WordPress官方发布4.8.3版本修复了一个重要的SQL注入漏洞,该漏洞由于WordPress中$wpdb编码不规范,导致可以接收和执行不安全的查询,导致潜在的SQL注入,存在高安全风险。 2P9gS[Ub  
具体详情如下:                                                                                                                                                
漏洞编号: ,7:_M> -3g  
暂无 t(69gF\"  
漏洞名称: (R)\  
WordPress全版本WPDB SQL注入漏洞 fC>3{@h}*  
官方评级: EgO=7?(pW  
高危 jE!<]   
漏洞描述: Ws'OJ1  
WordPress版本4.8.2及之前版本受到该漏洞的影响: $wpdb->prepare()可以接收和执行不安全的查询,导致潜在的SQL注入(SQLi)。 +JoE[;  
WordPress核心并不容易直接受到这个漏洞的影响。 jj^{^,z\  
漏洞利用条件和方式: dIiQ^M  
通过PoC直接远程利用。 EsR_J/:Qe  
PoC状态: Qhlgu!  
未公开 R*~<?}Rr  
漏洞影响范围: m1DzU q;  
WordPress <4.8.3版本 @i`*i@g  
漏洞检测: d<mj=V@bd  
开发人员检查是否使用了受影响版本范围内的WordPress。 k fER  
漏洞修复建议(或缓解措施): f,GF3vu"  
  • WordPress官方已经发布最新版本,推荐升级官方最新版本WordPress 4.8.3 ,用户可以通过点击后台的仪表盘->更新。
  • 可以使用云盾WAF 进行入侵防御,防止发生安全事件。
t}LV[bj1u  
情报来源: rZ<n0w  
v;.7-9c*  
o.yuz+  
$_s"16s  
4$Oakl*l  
_[|~(lDJl  
.nCF`5T!  
.6Jo1$+  
vto^[a6?  
SP][xdN7  
}C1&}hZ  
(`+%K_  
L&3Ak}sh  
lUWX[,  
8[  
3|4jS"t{f  
@[ {9B6NlV  
JWhi*je  
df_hmkyj  
O>]I!n`!!A  
}Z5f5q  
WW33ZJ  
bt3v`q+V  
:o$k(X7a  
;&B;RUUnTO  
+3]1AJa  
^ NZq1c  
_ ;baZ-  
x6Q,$B  
*x[ZN\$`Y  
$#R@x.=  
C3EQz r`  
;hP43Bi  
$yG>=GN  
64]_o/u5W4  
W Z'UVUi8  
] %A mX-U  
nf#;]FijB  
OW}ny  
[n%=2*1p  
HRX}r$  
3>60_:+Zb  
7l Q@I}i  
VK>ZH^-  
^{f ^%)X  
W=zHD 9  
}N @8zB~X  
{O24:'K&  
.g Z1}2GF=  
sa8Q1i&%  
~kHWh8\b:  
+5AWX,9,-  
D==C"}J  
,x (?7ZW>  
[ 此帖被正禾在2017-11-01 11:08重新编辑 ]
级别: 菜鸟
发帖
50
云币
51
只看该作者 沙发  发表于: 2017-11-05
Re【漏洞公告】WordPress全版本WPDB SQL注入漏洞
尚没有中文版。
级别: 小白
发帖
36
云币
39
只看该作者 板凳  发表于: 2017-11-14
Re【漏洞公告】WordPress全版本WPDB SQL注入漏洞
购买阿里云服务器使用券,享官网全部优惠,更可获得幸运降临,抽取实物大奖: https://promotion.aliyun.com/ntms/act/ambassador/sharetouser.html?userCode=kzp4uq6k
级别: 新人
发帖
4
云币
-6
只看该作者 地板  发表于: 2017-12-27
Re【漏洞公告】WordPress全版本WPDB SQL注入漏洞
学习了
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
如果您提交过一次失败了,可以用”恢复数据”来恢复帖子内容
 
验证问题: ECS是阿里云提供的什么服务? 正确答案:云服务器
上一个 下一个