360网站管家 发表于 2017-5-5 23:19:32

[重要通知] 【安全预警】WordPress 远程代码执行漏洞及密码重置漏洞通知

[重要通知] 【安全预警】WordPress 远程代码执行漏洞及密码重置漏洞通知

近日知名开源博客软件和内容管理系统WordPress被爆2个严重高危漏洞,分别为远程代码执行漏洞(CVE-2016-10033)及未授权密码重置漏洞(CVE-2017-8295),其中远程代码执行漏洞允许远程攻击者在不需要任何的验证和插件的情况下就可以利用远程执行代码,如果利用成功,攻击者可直接控制您的服务器,危害极大,后者未授权密码重置漏洞在某些情况下可能允许攻击者在未经身份验证的情况下获取密码重置链接。

【漏洞详情】
1)WordPress远程代码执行漏洞(CVE-2016-10033):影响4.6全系列版本,目前已经有公开可利用的PoC(漏洞利用程序),该漏洞主要是PHPMailer漏洞(CVE-2016-10033)在WordPress Core代码中的体现,该漏洞不需要任何验证和插件即可被利用,远程攻击者可以利用该漏洞执行代码进而控制安装了WordPress的站点;
2)WordPress未授权密码重置漏洞(CVE-2017-8295): 影响WordPress Core <= 4.7.4全版本,目前已经有公开可利用的PoC(漏洞利用程序),默认情况下,该漏洞由于WordPress使用不受信任的数据,当进行密码重置时,系统会发送相关密码重置链接到所有者帐户相关联的电子邮件。

【漏洞风险】
WordPress远程代码执行漏洞:高风险,远程代码执行;
WordPress未授权密码重置漏洞:中风险,具备一定的利用难度,在符合一定攻击场景下,攻击者可以重置任意用户账户密码;

【影响版本】
   WordPress远程代码执行漏洞(CVE-2016-10033): 影响4.6全系列版本
   WordPress未授权密码重置漏洞(CVE-2017-8295):影响WordPress Core <= 4.7.4全版本

【安全版本】
加固后的4.7.4版本

【修复建议】
目前WordPress官方并未发布最新更新补丁,推荐更新到最新版本或者4.7以上版本后进行安全加固,最新版本下载地址:https://wordpress.org/download/
临时加固方案如下:
修改pluggable.php配置,主要是通过设置静态SERVER_NAME,而不主动获取,可以通过临时修改代码的方式,比如把这里获取SERVER_NAME改为固定的域名,如下图:

    http://tapd.oa.com/tfl/captures/2017-05/tapd_10143161_base64_1493867864_52.png

【漏洞参考】
1)https://exploitbox.io/vuln/WordPress-Exploit-4-7-Unauth-Password-Reset-0day-CVE-2017-8295.html
2)https://legalhackers.com/
页: [1]
查看完整版本: [重要通知] 【安全预警】WordPress 远程代码执行漏洞及密码重置漏洞通知