首页 网站建设 Wordpress 浏览内容

【漏洞】CVE-2016-10033:WordPress未授权远程代码执行漏洞

711 2 BaiDu已收录 评论留言

2017年5月3日,开源CMS软件WordPress被曝出多个漏洞,其中一个高危漏洞可以远程执行任意代码,从而获取服务权限。

具体详情如下:

漏洞编号:

CVE-2016-10033

漏洞名称:

WordPress 未授权远程代码执行漏洞

官方评级:

高危

漏洞描述:

漏洞存在于广泛使用的PHPMailer mail()函数功能,远程攻击者利用默认开启的PHPMailer可以运行构造的恶意代码,无需登录触发该漏洞,从而导致获取系统权限。

漏洞利用条件和方式:
系统必须要安装Exim4环境下,远程攻击者可以直接利用该漏洞攻击成功。

漏洞影响范围:

WordPress <4.7.1

PHPMailer <5.2.20

漏洞检测:

检查WordPress是否在受影响版本内
检查PHPMailer版本:

打开wordpress/wp-includes/class-php-mailer.php文件查看对应的PHPMailer版本

漏洞修复建议(或缓解措施):

目前已经公开了POC,官方公告已经宣称在4.7.1版本已经修复该漏洞,建议用户尽快升级到最新版4.7.4 ,升级方案参见WordPress官方帮助文档
如果您使用Apache 可以指定ServerName 为您网站域名,同时启用Apache的UseCanonicalName功能,以避免该漏洞带来的风险;

Web中间件为Nginx的系统不受此漏洞影响。

资讯来源:
https://help.aliyun.com/knowledge_detail/53116.html
https://wordpress.org/news/2017/01/wordpress-4-7-1-security-and-maintenance-release/

标签:
墨月的头像
  • 本文由墨月网络整理编辑,转载请以链接形式注明本文地址:https://www.moyoo.net/13631.html
    版权所有© 墨月网络 | 本文采用 BY-NC-SA 进行授权丨发布于:2017-05-05 14:42
    若未注明,均为原创;部分内容源于网络,版权归原作者所有,如有侵权,请联系我们删除。
  1. 进来看看、支持一下

    2017年5月11日 10:55 回复
评论头像

关注我们,实时联系

AD

注册就送25美元

Vultr

推广

Vultr

赞助商

广而告之

alimama