当前位置:首页>文章中心>最新公告>WordPress未授权远程代码执行、密码重置漏洞安全预警

WordPress未授权远程代码执行、密码重置漏洞安全预警

发布时间:2017-05-04 点击数:921
尊敬的OSOA用户,您好!

       WordPress被爆存在多个安全漏洞,其中一个高危漏洞可以未授权情况下远程执行代码,另一个高危漏洞可以未经授权获取WordPress账户访问权限,影响严重。请检查您使用的WordPress是否受到影响,并及时进行修复与防御。
       影响范围
       CVE-2016-10033:WordPress 4.6
       CVE-2017-8295:WordPress Core <= 4.7.4
       修复方案
       1、使用UEWAF进行安全防御;
       2、关注官网动态、修复版本发布后及时升级;
       CVE-2016-10033漏洞在4.7.1版本已经修复,建议升级到最新版本;
       CVE-2017-8295修复版本还未发布;
       3、CVE-2017-8295临时解决方案:启用UseCanonicalName强制执行静态SERVER_NAME值;
       https://httpd.apache.org/docs/2.4/mod/core.html#usecanonicalname
       漏洞详情
       CVE-2016-10033:PHPMailer漏洞在WordPress Core代码中的体现,该漏洞在默认的配置情况下就可以利用,远程攻击者可以利用该漏洞执行任意代码,该漏洞利用poc已经发布,危害严重。
       poc视频:https://www.youtube.com/watch?v=ZFt_S5pQPX0
       CVE-2017-8295:WordPress密码重置功能存在漏洞,某些情况下可以允许攻击者未经身份验证获取密码重置链接,可以导致攻击者未经授权获取WordPress账户访问权限。
       参考链接
       https://cxsecurity.com/issue/WLB-2017050014
       https://wordpress.org/news/2017/01/wordpress-4-7-1-security-and-maintenance-release/
       https://exploitbox.io/vuln/WordPress-Exploit-4-7-Unauth-Password-Reset-0day-CVE-2017-8295.html

OSOA客服团队
2017-05-04