开发者社区> 问答> 正文

【漏洞公告】CVE-2016-10033:WordPress 未授权远程代码执行漏洞

2017年5月3日,开源CMS软件WordPress被曝出多个漏洞,其中一个高危漏洞可以远程执行任意代码,从而获取服务权限。
具体详情如下:                                 
                        


漏洞编号:
CVE-2016-10033
漏洞名称:
WordPress 未授权远程代码执行漏洞
官方评级:
高危
漏洞描述:
该漏洞存在于广泛使用的 PHPMailer mail()函数功能,通过该功能可以运行构造的恶意代码,触发该漏洞从而导致获取系统权限。
漏洞利用条件和方式:
系统必须要安装Exim4环境下,远程攻击者可以直接利用该漏洞攻击成功。
漏洞影响范围:
  • WordPress <4.7.1
  • PHPMailer <5.2.20

漏洞检测:
  • 检查WordPress是否在受影响版本内
  • 检查PHPMailer版本:打开wordpress/wp-includes/class-php-mailer.php文件查看对应的PHPMailer版本

漏洞修复建议(或缓解措施):
  • 目前已经公开了POC,官方公告 已经宣称在4.7.1版本已经修复该漏洞,强烈建议用户尽快升级到最新版4.7.4,[font=PingFangSC, &],升级方案参见WordPress官方帮助文档  ;
  • 如果短期内无法升级wordpress版本,建议您尽快关闭wordpress邮件发送功能。

情报来源:
  • https://cxsecurity.com/issue/WLB-2017050014
  • https://wordpress.org/news/2017/01/wordpress-4-7-1-security-and-maintenance-release/






展开
收起
正禾 2017-05-04 08:59:28 3724 0
2 条回答
写回答
取消 提交回答
  • 云安全专家,专业研究云安全5年+,擅长云安全防护体系建设和安全运营。
    回 1楼(送小孩) 的帖子
    感谢提示!
    2017-05-04 14:08:49
    赞同 展开评论 打赏
  • Re【漏洞公告】CVE-2016-10033WordPress 未授权远程代码执行漏洞
    老大,有错别字。

    漏洞描述倒数三个字……
    2017-05-04 14:01:15
    赞同 展开评论 打赏
问答排行榜
最热
最新

相关电子书

更多
如何产生威胁情报-高级恶意攻击案例分析 立即下载
代码未写,漏洞已出 立即下载
Linux系统通过fail2ban对暴力破解进行防护 立即下载