阿里云
发表主题 回复主题
  • 10523阅读
  • 3回复

[安全漏洞公告专区]【漏洞公告】WordPress全版本WPDB SQL注入漏洞

级别: 论坛版主
发帖
241
云币
476
2017年10月30日,WordPress官方发布4.8.3版本修复了一个重要的SQL注入漏洞,该漏洞由于WordPress中$wpdb编码不规范,导致可以接收和执行不安全的查询,导致潜在的SQL注入,存在高安全风险。 jkiTj~WE-  
具体详情如下:                                                                                                                                                
漏洞编号: /yLZ/<WN  
暂无 B= keBO](@  
漏洞名称: e&eW|E  
WordPress全版本WPDB SQL注入漏洞 (wc03,K^  
官方评级: E&yD8=vw  
高危 >hY" 3  
漏洞描述: sBv>E}*R  
WordPress版本4.8.2及之前版本受到该漏洞的影响: $wpdb->prepare()可以接收和执行不安全的查询,导致潜在的SQL注入(SQLi)。 UZ8?[  
WordPress核心并不容易直接受到这个漏洞的影响。 vi@Lz3}::  
漏洞利用条件和方式: Hn,:`mj4-6  
通过PoC直接远程利用。 OdMO=Hy6d  
PoC状态: 61U<5:#l  
未公开 J==SZ v  
漏洞影响范围: c62=*] ,  
WordPress <4.8.3版本 1GEK:g2B  
漏洞检测: p8wyEHB  
开发人员检查是否使用了受影响版本范围内的WordPress。 FZB~|3eq{  
漏洞修复建议(或缓解措施): W"L&fV+3  
  • WordPress官方已经发布最新版本,推荐升级官方最新版本WordPress 4.8.3 ,用户可以通过点击后台的仪表盘->更新。
  • 可以使用云盾WAF 进行入侵防御,防止发生安全事件。
X\p,%hk \  
情报来源: jClj_E  
x*oWa,  
SM[Bv9|0  
,_!6U  
cYNJhGY  
-Xz?s  
m?s}QGSka  
F>]#}_  
G0n'KB  
ry};m_BY  
>Ps7I  
4eVI},  
;0ME+]`"3  
QbhW!9(,  
nZR!*$} A  
^s\3/z>b4!  
x0a.!  
Q5S,{ ZeT  
XwM611  
Ql?^ B SqG  
6]Q3Yz^h  
l? #xAZx&_  
 Do?P<x o  
KsAH]2Q%  
0f ER*.F  
')+0nPV  
%u?HF4S'  
Fb2%!0i  
~;-9X|  
us?&:L|!=  
SM[{BH<  
3L-^<'~-k;  
7J>Gd  
JU0]Wq<^[  
!- C' }  
8F;>5i  
wh 0<Uv  
yI:# |w|  
pw>m.=9|y  
eR']#Q46{T  
bC@k>yC-  
)J/HkOj"V  
tP ~zKU  
%@& a7JOL  
Y5A~E#zw  
.R 44$F  
L^9HH)Jc  
\hk/1/siyF  
|oKu=/[K  
L3y5a?G  
$]d*0^J 6  
Qqs"?Z,P  
g: %9jf  
ateUpGM QU  
[ 此帖被正禾在2017-11-01 11:08重新编辑 ]
级别: 菜鸟
发帖
51
云币
52
只看该作者 沙发  发表于: 2017-11-05
Re【漏洞公告】WordPress全版本WPDB SQL注入漏洞
尚没有中文版。
级别: 菜鸟
发帖
52
云币
56
只看该作者 板凳  发表于: 2017-11-14
Re【漏洞公告】WordPress全版本WPDB SQL注入漏洞
购买阿里云服务器使用券,享官网全部优惠,更可获得幸运降临,抽取实物大奖: https://promotion.aliyun.com/ntms/act/ambassador/sharetouser.html?userCode=kzp4uq6k
级别: 新人
发帖
4
云币
-6
只看该作者 地板  发表于: 2017-12-27
Re【漏洞公告】WordPress全版本WPDB SQL注入漏洞
学习了
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
如果您提交过一次失败了,可以用”恢复数据”来恢复帖子内容
 
验证问题: 27 + 29 = ?
上一个 下一个