信息安全

当前位置: 首页 > 信息安全 > 安全提示 > 正文

昨日,互联网上公开了Wordpress <= 4.9.6的任意文件删除漏洞及分析利用材料。该漏洞影响Wordpress全部版本(<= 4.9.6)。在攻击者获得基础权限后,可升级角色权限,从而做到任意文件删除并在服务器上至下任意代码。

漏洞概述

Worspress是如今使用最为广泛的一套内容管理系统。

Wordpress <= 4.9.6存在任意文件删除漏洞,在攻击者获得编辑和删除媒体文件的权限前提下,利用此漏洞,攻击者能够删除Wordpress安装的任何文件,若没有及时备份可导致灾难性后果;同时,攻击者可利用任意文件删除功能绕过一些安全措施,并在WEB服务器上执行任意代码。

漏洞危害

在攻击者获得编辑和删除媒体文件的权限前提下,利用此漏洞,攻击者能够删除Wordpress安装的任何文件,若没有及时备份可导致灾难性后果;同时,攻击者可利用任意文件删除功能绕过一些安全措施,并在WEB服务器上执行任意代码。

受影响范围

Wordpress <= 4.9.6

修复建议

目前,互联网上有临时修复方案,建议用户做好网站备份并根据实际情况实施修复。

临时修复方案:https://blog.ripstech.com/2018/wordpress-file-delete-to-code-execution/

官方修复信息尚未发布,建议用户及时关注官方平台发布的修复信息。

官方参考链接:https://wordpress.org/

上一篇: 【漏洞预警 - 华中科技大学】微信支付的 JAVA SDK 存在 XXE 漏洞

下一篇: 【华中科技大学 - 漏洞预警】百度 UEditor web 编辑器 v1.4.3 等多个版本存在 SSRF 漏洞