阿里云
阿里云飞天战略营全新发布
发表主题 回复主题
  • 8445阅读
  • 3回复

[安全漏洞公告专区]【漏洞公告】WordPress全版本WPDB SQL注入漏洞

级别: 论坛版主
发帖
227
云币
443
2017年10月30日,WordPress官方发布4.8.3版本修复了一个重要的SQL注入漏洞,该漏洞由于WordPress中$wpdb编码不规范,导致可以接收和执行不安全的查询,导致潜在的SQL注入,存在高安全风险。 &W)+8N,L  
具体详情如下:                                                                                                                                                
漏洞编号: DtJTnvG~B  
暂无 nzE,F\k  
漏洞名称: spSN6 .j  
WordPress全版本WPDB SQL注入漏洞 vA "`0  
官方评级: gM;)  
高危 gGI#QPT`X  
漏洞描述: %+7T9>+  
WordPress版本4.8.2及之前版本受到该漏洞的影响: $wpdb->prepare()可以接收和执行不安全的查询,导致潜在的SQL注入(SQLi)。 BudWbZ5>Ep  
WordPress核心并不容易直接受到这个漏洞的影响。 2*-ENW2  
漏洞利用条件和方式: 5}d/8tS  
通过PoC直接远程利用。 9HJ'p:{)  
PoC状态: WK_y1(v>  
未公开 %g]$Vfpy  
漏洞影响范围: B::4Qme  
WordPress <4.8.3版本 &Xn8oe  
漏洞检测: x '=3&vc4  
开发人员检查是否使用了受影响版本范围内的WordPress。 MKVfy:g%So  
漏洞修复建议(或缓解措施): M~ i+F0  
  • WordPress官方已经发布最新版本,推荐升级官方最新版本WordPress 4.8.3 ,用户可以通过点击后台的仪表盘->更新。
  • 可以使用云盾WAF 进行入侵防御,防止发生安全事件。
Hlt8al3  
情报来源:  zU4V^N'  
:Er^"9'A2  
_\4`  
t> x-1vf%  
c4ZuW_&:  
==h|+NFa  
j]!7BHC  
'#,e @v  
Ss#@=:"P  
#K :-Bys5v  
J0ZxhxX35  
.)"_Q/q  
+{")E)  
;t;Y.*&=S  
7xv4E<r2  
lC'{QUC  
yqC Q24  
%Y cxC0S[  
AfbB~LlBq  
;ZQ- uz  
zb>f;[  
g.B%#bfg  
!US8aT  
f7XQ~b  
 G"o!}  
Usa+b A  
@4IW=V  
Zg -]sp]  
.]W ;2G  
]pW86L%  
Ds%9cp*6  
[[:UhrH-  
?PBa'g  
YBb)/ZghY  
z%(Fo2)^  
j$3rJA%rN  
z]^+^c_  
0U$:>bQ  
x(L(l=^"  
K(<$.  
,i?)  
D`6iDi t  
9ky7r;?  
q@(1Yivk  
b2N6L2~V  
= 96G8hlT  
 %BUEX  
~12_D'8D[  
1N8;)HLIBJ  
Q"40#RFA  
>lrhHU  
$@_{p*q  
P?kx  
}91*4@B7  
[ 此帖被正禾在2017-11-01 11:08重新编辑 ]
级别: 小白
发帖
36
云币
37
只看该作者 沙发  发表于: 2017-11-05
Re【漏洞公告】WordPress全版本WPDB SQL注入漏洞
尚没有中文版。
级别: 小白
发帖
24
云币
24
只看该作者 板凳  发表于: 2017-11-14
Re【漏洞公告】WordPress全版本WPDB SQL注入漏洞
购买阿里云服务器使用券,享官网全部优惠,更可获得幸运降临,抽取实物大奖: https://promotion.aliyun.com/ntms/act/ambassador/sharetouser.html?userCode=kzp4uq6k
级别: 新人
发帖
4
云币
-6
只看该作者 地板  发表于: 2017-12-27
Re【漏洞公告】WordPress全版本WPDB SQL注入漏洞
学习了
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
如果您在写长篇帖子又不马上发表,建议存为草稿
 
验证问题: 95 + 4 = ?
上一个 下一个