阿里云
1024开发者盛宴之Java专家问答专场
发表主题 回复主题
  • 3407阅读
  • 0回复

【漏洞公告】CVE-2018-6389:WordPress 全版本DoS漏洞

级别: 论坛版主
发帖
240
云币
472
2"i<--Y  
近日,WordPress爆出通杀所有版本的DoS漏洞,CVE编号CVE-2018-6389, 过去九年发布的几乎所有版本的WordPress都受影响,包括最新版本4.9.2,目前已经公开了PoC演示视频和漏洞修复脚本。但Wordpress团队拒绝承认这个漏洞。 WQK#&r*  
由于WordPress使用较广泛,建议用户关注并开展查工作。 x]{h$yI  
c/x(v=LW  
具体详情如下: v4ueFEY  

s]2k@3|e  
漏洞编号: %{Ls$Y)  
CVE-2018-6389 4ErDGYg}  
漏洞名称: sJ0y3)PQ  
WordPress 全版本DoS漏洞 ".@SQgyb0  
官方评级: Xbu >8d?n  
高危 N.isvDk%  
漏洞描述: J#X7Ss  
漏洞是一个应用程序级别的 DoS攻击问题,该漏洞出现在load-scripts.php文件中,load-scripts.php文件是为WordPress管理员设计的,允许将多个JavaScript文件加载到一个请求中,通过技术分析发现可以在登录之前调用该函数来允许任何人调用它,并通过少量请求返回大数据,造成服务资源消耗,从而导致DoS攻击。 JT:9"lmJz,  
漏洞利用条件和方式: hyTi':  
通过PoC直接远程利用。 Y{J/Oib  
PoC状态: o0<T|zgF5,  
已公开 '+}hVfN  
漏洞影响范围: `i.f4]r  
<=4.9.2 .:lzT"QXI  
漏洞检测: e EU :  
开发人员检查是否使用了受影响版本范围内的Wordpress版本。 4 5Ql7~  
漏洞修复建议(或缓解措施): |MBnRR  
  • 安全研究人员发布了补丁脚本 ,可以根据网站业务情况测试和修复;
  • 持续关注WordPress发布的最新版本,及时更新到最新版本。
;pULJ}rDb  
提示:建议您在修复漏洞前做好测试工作,同时使用ECS快照功能做好数据备份工作。 "`3H0il;<  
情报来源: DvhK0L*Qr  
@RnGK 5  
1fC|_V(0  
zY#U]Is  
w6E?TI  
"@f`O  
)*_YeT&w.  
/ _cOg? o  
ae^xuM?7  
d[S!e`,iD  
sF|$oyDE  
i>rn!?b  
fx}R7GN2  
qM9GW`CKA  
leD?yyjw7  
\J13rL{<  
F_-yT[i  
U ^,ld`  
N7M^  
d+IPa<N  
+V'Z%;/  
*%fOE;-?  
Ny~;"n  
"7aFVf  
]c5Shj5|p  
vx ,yz+yP  
$@U`zy"Y  
.:;i*  
2GD%=rP2]  
F(w>lWs;  
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
如果您提交过一次失败了,可以用”恢复数据”来恢复帖子内容
 
验证问题: 阿里云官网域名是什么? 正确答案:www.aliyun.com
上一个 下一个