2019年2月20日,阿里云云盾應(yīng)急響應(yīng)中心監(jiān)測到有國外安全研究人員披露WordPress存在遠(yuǎn)程代碼執(zhí)行漏洞,擁有Author發(fā)布文章權(quán)限的攻擊者,可在目標(biāo) WordPress站點(diǎn)服務(wù)器執(zhí)行任意PHP代碼。
漏洞描述
由于沒有安全檢查,文章作者更新圖片時(shí),edit_post()函數(shù)會被觸發(fā),該函數(shù)直接處理了$_POST數(shù)據(jù),可導(dǎo)致惡意圖片文件傳遞至網(wǎng)站任意目錄,通過文件包含,最終可實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行漏洞。
漏洞評級
高危
影響版本
WordPress 5.0.0
WordPress 4.9.8 及之前的版本
安全建議
升級至WordPress 最新版本,官方下載鏈接:https://wordpress.org/download/