阿里云
云栖社区2017年度内容特辑
发表主题 回复主题
  • 7726阅读
  • 3回复

[安全漏洞公告专区]【漏洞公告】WordPress全版本WPDB SQL注入漏洞

级别: 论坛版主
发帖
216
云币
402
2017年10月30日,WordPress官方发布4.8.3版本修复了一个重要的SQL注入漏洞,该漏洞由于WordPress中$wpdb编码不规范,导致可以接收和执行不安全的查询,导致潜在的SQL注入,存在高安全风险。 $?0<rvGJ  
具体详情如下:                                                                                                                                                
漏洞编号: D|OX]3~  
暂无 (!;4Y82#  
漏洞名称: <;= X7l+  
WordPress全版本WPDB SQL注入漏洞 #B54p@.}  
官方评级: !DLIIKO78  
高危 D`Fl*Wc4H  
漏洞描述: j'~xe3j  
WordPress版本4.8.2及之前版本受到该漏洞的影响: $wpdb->prepare()可以接收和执行不安全的查询,导致潜在的SQL注入(SQLi)。 &bTadd%0  
WordPress核心并不容易直接受到这个漏洞的影响。 V<+d o|@F  
漏洞利用条件和方式: >&p_G0-  
通过PoC直接远程利用。 >:8GU f*  
PoC状态: BoFJ8Ukq|  
未公开 ,OG sx  
漏洞影响范围: {DAwkJvb]  
WordPress <4.8.3版本 }(ot IqE  
漏洞检测: P oC*>R8  
开发人员检查是否使用了受影响版本范围内的WordPress。 AuSL?kZ4|Y  
漏洞修复建议(或缓解措施): s}UPe)Vu  
  • WordPress官方已经发布最新版本,推荐升级官方最新版本WordPress 4.8.3 ,用户可以通过点击后台的仪表盘->更新。
  • 可以使用云盾WAF 进行入侵防御,防止发生安全事件。
Gu9Ap<>!  
情报来源: c[ga@Vy  
l =xy_ TCf  
I9TOBn|6   
-S Z^;t  
yG{'hx6H  
JoIffI?{(D  
<{:$ ]3  
a'W-&j  
HSq&'V  
*b~$|H-\  
`UGHk*DL)  
O~Pb u[C  
[iB`- dE,  
 E*i <P  
Q(>89*b&  
J_<ENs-  
4ijoAW3A^  
/a(xUm@.  
_T)dmhG  
 UcKpid  
3I@j=:(%Y  
ku&IVr%  
P]bI".A8  
u#ag|b/C:  
"~> # ;x{  
uR"(0_  
[2WJ>2r}6  
c>,|[zP{  
9Qst5n\Z  
(ylpH`  
i*_T\_=  
=I-SQI8  
^0Cr-  
2zZ" }Zr#  
Z ^zUb  
E %FCOKw_  
+vY8HQ|v  
}uz*6Z(S  
xxLD8?@e7  
_VFl.U,   
""|vhgP  
N<}{oIsZ+  
9TuE.  
]>M{Q n*  
{9S=:  
qv>?xKSm  
?j6?KR@#  
2K0HN  
(U#4j 6Q  
v1*Lf/  
?fr -5&,  
PQ9.aJdw@-  
!Bcd\]q  
yqi=9NB  
[ 此帖被正禾在2017-11-01 11:08重新编辑 ]
级别: 小白
发帖
32
云币
33
只看该作者 沙发  发表于: 2017-11-05
Re【漏洞公告】WordPress全版本WPDB SQL注入漏洞
尚没有中文版。
级别: 禁止发言
发帖
23
云币
23
只看该作者 板凳  发表于: 2017-11-14
用户被禁言,该主题自动屏蔽!
级别: 新人
发帖
4
云币
-6
只看该作者 地板  发表于: 2017-12-27
Re【漏洞公告】WordPress全版本WPDB SQL注入漏洞
学习了
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
批量上传需要先选择文件,再选择上传
 
验证问题: ECS是阿里云提供的什么服务? 正确答案:云服务器
上一个 下一个