360°网站管家_运维学院_提供最新最全的服务器运维视频教程与网站维护视频教程

 找回密码
 快速注册

QQ登录

只需一步,快速开始

搜索
热搜: 活动 交友 discuz
1 2 3 4
查看: 3414|回复: 0
打印 上一主题 下一主题

[重要通知] 【安全预警】WordPress 远程代码执行漏洞及密码重置漏洞通知

[复制链接]

823

主题

909

帖子

4623

积分

管理员

Rank: 9Rank: 9Rank: 9

积分
4623
跳转到指定楼层
楼主
发表于 2017-5-5 23:19:32 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

亲!这问题您也搜索很久了吧?不如咨询下我们吧


613049616  613049616  613049616   613049616   613049616


[重要通知] 【安全预警】WordPress 远程代码执行漏洞及密码重置漏洞通知

近日知名开源博客软件和内容管理系统WordPress被爆2个严重高危漏洞,分别为远程代码执行漏洞(CVE-2016-10033)未授权密码重置漏洞(CVE-2017-8295)其中远程代码执行漏洞允许远程攻击者在不需要任何的验证和插件的情况下就可以利用远程执行代码如果利用成功,攻击者可直接控制您的服务器危害极大,后者未授权密码重置漏洞在某些情况下可能允许攻击者在未经身份验证的情况下获取密码重置链接

【漏洞详情】
1)WordPress远程代码执行漏洞(CVE-2016-10033):影响4.6全系列版本,目前已经有公开可利用的PoC(漏洞利用程序),该漏洞主要是PHPMailer漏洞(CVE-2016-10033)在WordPress Core代码中的体现,该漏洞不需要任何验证和插件即可被利用,远程攻击者可以利用该漏洞执行代码进而控制安装了WordPress的站点;
2)WordPress未授权密码重置漏洞(CVE-2017-8295): 影响WordPress Core <= 4.7.4全版本,目前已经有公开可利用的PoC(漏洞利用程序),默认情况下,该漏洞由于WordPress使用不受信任的数据,当进行密码重置时,系统会发送相关密码重置链接到所有者帐户相关联的电子邮件。

【漏洞风险】
  WordPress远程代码执行漏洞:高风险,远程代码执行;
  WordPress未授权密码重置漏洞:中风险,具备一定的利用难度,在符合一定攻击场景下,攻击者可以重置任意用户账户密码;

【影响版本】
   WordPress远程代码执行漏洞(CVE-2016-10033): 影响4.6全系列版本
   WordPress未授权密码重置漏洞(CVE-2017-8295):  影响WordPress Core <= 4.7.4全版本

【安全版本】
加固后的4.7.4版本

【修复建议】
目前WordPress官方并未发布最新更新补丁,推荐更新到最新版本或者4.7以上版本后进行安全加固,最新版本下载地址:https://wordpress.org/download/
临时加固方案如下:
修改pluggable.php配置,主要是通过设置静态SERVER_NAME,而不主动获取,可以通过临时修改代码的方式,比如把这里获取SERVER_NAME改为固定的域名,如下图:

   

【漏洞参考】
1)https://exploitbox.io/vuln/WordPress-Exploit-4-7-Unauth-Password-Reset-0day-CVE-2017-8295.html
2)https://legalhackers.com/
分享到:  QQ好友和群QQ好友和群 QQ空间QQ空间 腾讯微博腾讯微博 腾讯朋友腾讯朋友
收藏收藏
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 快速注册

本版积分规则


Archiver|手机版|小黑屋|360wzgj Inc. 百度统计

GMT+8, 2024-11-21 21:51 , Processed in 0.067394 second(s), 31 queries .

Powered by Discuz! X3.2

© 2001-2013 Comsenz Inc.

快速回复 返回顶部 返回列表