阿里云
向代码致敬,寻找你的第83行
发表主题 回复主题
  • 9124阅读
  • 3回复

[安全漏洞公告专区]【漏洞公告】WordPress全版本WPDB SQL注入漏洞

级别: 论坛版主
发帖
232
云币
454
2017年10月30日,WordPress官方发布4.8.3版本修复了一个重要的SQL注入漏洞,该漏洞由于WordPress中$wpdb编码不规范,导致可以接收和执行不安全的查询,导致潜在的SQL注入,存在高安全风险。 V!oyC$eV  
具体详情如下:                                                                                                                                                
漏洞编号: -Iq#h)Q*  
暂无 *yB!^O  
漏洞名称: 8!1o,=I$  
WordPress全版本WPDB SQL注入漏洞 bBZvL  
官方评级: Y }0-&  
高危 4X^0:.bT&  
漏洞描述:  W?.Y%wc0  
WordPress版本4.8.2及之前版本受到该漏洞的影响: $wpdb->prepare()可以接收和执行不安全的查询,导致潜在的SQL注入(SQLi)。 LnBkd:>}  
WordPress核心并不容易直接受到这个漏洞的影响。 Blu^\:?#z-  
漏洞利用条件和方式: ==$Ox6.  
通过PoC直接远程利用。 2-8<uUy  
PoC状态: thS#fO4]d  
未公开 nwz}&nR  
漏洞影响范围: eM8u ;i  
WordPress <4.8.3版本 :qI myaGQ  
漏洞检测: o'W &gkb9  
开发人员检查是否使用了受影响版本范围内的WordPress。 0^hz1\g  
漏洞修复建议(或缓解措施): 3B>!9:w~f  
  • WordPress官方已经发布最新版本,推荐升级官方最新版本WordPress 4.8.3 ,用户可以通过点击后台的仪表盘->更新。
  • 可以使用云盾WAF 进行入侵防御,防止发生安全事件。
[3j]r{0I  
情报来源: $)kIYM&  
nPKf~|\1{  
U,)+wZJ  
)\t#e`3  
ww=< =  
BHa!jw_~o  
Q5baY\"9^  
P[^!Uq[0n7  
{<&x9<f9  
&7}-Xvc  
; 5oY)1  
:  wb\N'b  
nJrV  
he 9qWL&^G  
o:m:9dn  
0YW<>Y`6  
_bFX(~37z?  
c}$?k@=  
s}UPe)Vu  
z9E*Mh(NE  
D{\hPv  
~G ,n>  
g5_]^[up w  
R /iB  
k'EP->r  
(7&[!PS  
J$@3,=L6V  
ga0W;Vq&X  
,}F{V>dhn  
C {gYrz)  
kznmA`#jn  
`UGHk*DL)  
sYgpK92  
}D{y u+)  
yLG`tU1  
^DM^HSm  
$D<LND=o=  
e\tcP  
m<hR Lo  
9!}&&]Q`  
mO(m%3  
{H=DeQ  
L1 O\PEeT  
5$`ihO?  
]|@RWzA  
*&^`Uk,[  
ix [aS  
wRCGfILw  
IJhJfr0)Oo  
+Gg6h=u  
UPfH~H[1)  
2aNCcZw0  
i*_T\_=  
Dh*Uv,  
[ 此帖被正禾在2017-11-01 11:08重新编辑 ]
级别: 小白
发帖
40
云币
41
只看该作者 沙发  发表于: 2017-11-05
Re【漏洞公告】WordPress全版本WPDB SQL注入漏洞
尚没有中文版。
级别: 小白
发帖
24
云币
24
只看该作者 板凳  发表于: 2017-11-14
Re【漏洞公告】WordPress全版本WPDB SQL注入漏洞
购买阿里云服务器使用券,享官网全部优惠,更可获得幸运降临,抽取实物大奖: https://promotion.aliyun.com/ntms/act/ambassador/sharetouser.html?userCode=kzp4uq6k
级别: 新人
发帖
4
云币
-6
只看该作者 地板  发表于: 2017-12-27
Re【漏洞公告】WordPress全版本WPDB SQL注入漏洞
学习了
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
批量上传需要先选择文件,再选择上传
 
验证问题: 阿里云官网域名是什么? 正确答案:www.aliyun.com
上一个 下一个