阿里云
发表主题 回复主题
  • 10240阅读
  • 3回复

[安全漏洞公告专区]【漏洞公告】WordPress全版本WPDB SQL注入漏洞

级别: 论坛版主
发帖
240
云币
472
2017年10月30日,WordPress官方发布4.8.3版本修复了一个重要的SQL注入漏洞,该漏洞由于WordPress中$wpdb编码不规范,导致可以接收和执行不安全的查询,导致潜在的SQL注入,存在高安全风险。 N o\&~  
具体详情如下:                                                                                                                                                
漏洞编号: iDc|9"|Tf3  
暂无 2!?z%s-S  
漏洞名称: de{YgN  
WordPress全版本WPDB SQL注入漏洞 ~ O=|v/]  
官方评级: %v:h]TA  
高危 ){6)?[G  
漏洞描述: })vr*[  
WordPress版本4.8.2及之前版本受到该漏洞的影响: $wpdb->prepare()可以接收和执行不安全的查询,导致潜在的SQL注入(SQLi)。 l0xFt ~l  
WordPress核心并不容易直接受到这个漏洞的影响。 ,GP4I3D  
漏洞利用条件和方式: jZ,[{Z(N   
通过PoC直接远程利用。 ~U6YN_W  
PoC状态: : ";D.{||  
未公开 E wsq0D  
漏洞影响范围: HKN"$(Q  
WordPress <4.8.3版本 1y-lZ}s_  
漏洞检测: 8'WMspX  
开发人员检查是否使用了受影响版本范围内的WordPress。 AeCG2!8^0  
漏洞修复建议(或缓解措施): ^|i\d \  
  • WordPress官方已经发布最新版本,推荐升级官方最新版本WordPress 4.8.3 ,用户可以通过点击后台的仪表盘->更新。
  • 可以使用云盾WAF 进行入侵防御,防止发生安全事件。
kDl4t]j  
情报来源: yXo0z_ G  
^WW|AS  
yZ)aKwj%U  
^H6d; n  
BRXb<M^;_  
}>X\"  
rspoSPnY1  
Y\Qxdq  
ka)LK@p6  
0mD;.1:  
>{qK ]xj  
OG^WZ.YU  
Q}?N4kg  
avt>saR  
p@7i=hyt`p  
Sa?5iFg  
H(G^O&ppdB  
]pRfY9w  
+>WC^s  
8Z4?X%  
k4F"UG-`  
*iRm`)zC(  
<V:<x  
,D@ ;i  
0fPHh>u  
:ONuWNY N  
cR=94i=t  
B=gsd0^]  
5h|m4)$  
,P@/=I5  
o!=l B fI  
Dz8:; $/  
~C"k$;(n  
Z`oaaO  
\>Ga-gv6/  
b$goF }b'g  
ne"?90~  
Q$fRi[/L  
=CKuiO.j  
2 ]V>J  
wTlK4R#  
b\?7?g  
< g3du~  
8Q^6ibE  
dSe8vA!)  
B?;' lDz*  
+HOCVqx  
. 0 s[{x  
v@fe-T&0  
ceb s.sF:  
Qe>i{:N  
&2io^A P  
la\zaKC;>  
{Ax)[<i  
[ 此帖被正禾在2017-11-01 11:08重新编辑 ]
级别: 菜鸟
发帖
50
云币
51
只看该作者 沙发  发表于: 2017-11-05
Re【漏洞公告】WordPress全版本WPDB SQL注入漏洞
尚没有中文版。
级别: 小白
发帖
36
云币
39
只看该作者 板凳  发表于: 2017-11-14
Re【漏洞公告】WordPress全版本WPDB SQL注入漏洞
购买阿里云服务器使用券,享官网全部优惠,更可获得幸运降临,抽取实物大奖: https://promotion.aliyun.com/ntms/act/ambassador/sharetouser.html?userCode=kzp4uq6k
级别: 新人
发帖
4
云币
-6
只看该作者 地板  发表于: 2017-12-27
Re【漏洞公告】WordPress全版本WPDB SQL注入漏洞
学习了
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
如果您提交过一次失败了,可以用”恢复数据”来恢复帖子内容
 
验证问题: ECS是阿里云提供的什么服务? 正确答案:云服务器
上一个 下一个