昨日,互联网上公开了Wordpress <= 4.9.6的任意文件删除漏洞及分析利用材料。该漏洞影响Wordpress全部版本(<= 4.9.6)。在攻击者获得基础权限后,可升级角色权限,从而做到任意文件删除并在服务器上至下任意代码。
漏洞概述
Worspress是如今使用最为广泛的一套内容管理系统。
Wordpress <= 4.9.6存在任意文件删除漏洞,在攻击者获得编辑和删除媒体文件的权限前提下,利用此漏洞,攻击者能够删除Wordpress安装的任何文件,若没有及时备份可导致灾难性后果;同时,攻击者可利用任意文件删除功能绕过一些安全措施,并在WEB服务器上执行任意代码。
漏洞危害
在攻击者获得编辑和删除媒体文件的权限前提下,利用此漏洞,攻击者能够删除Wordpress安装的任何文件,若没有及时备份可导致灾难性后果;同时,攻击者可利用任意文件删除功能绕过一些安全措施,并在WEB服务器上执行任意代码。
受影响范围
Wordpress <= 4.9.6
修复建议
目前,互联网上有临时修复方案,建议用户做好网站备份并根据实际情况实施修复。
临时修复方案:https://blog.ripstech.com/2018/wordpress-file-delete-to-code-execution/
官方修复信息尚未发布,建议用户及时关注官方平台发布的修复信息。
官方参考链接:https://wordpress.org/