【漏洞公告】CVE-2016-10033:WordPress 未授权远程代码执行漏洞
2017年5月3日,开源CMS软件WordPress被曝出多个漏洞,其中一个高危漏洞可以远程执行任意代码,从而获取服务权限。
具体详情如下:
漏洞编号:
CVE-2016-10033
漏洞名称:
WordPress 未授权远程代码执行漏洞
官方评级:
高危
漏洞描述:
该漏洞存在于广泛使用的 PHPMailer mail()函数功能,通过该功能可以运行构造的恶意代码,触发该漏洞从而导致获取系统权限。
漏洞利用条件和方式:
系统必须要安装Exim4环境下,远程攻击者可以直接利用该漏洞攻击成功。
漏洞影响范围:
- WordPress <4.7.1
- PHPMailer <5.2.20
漏洞检测:
- 检查WordPress是否在受影响版本内
- 检查PHPMailer版本:打开wordpress/wp-includes/class-php-mailer.php文件查看对应的PHPMailer版本
漏洞修复建议(或缓解措施):
- 目前已经公开了POC,官方公告 已经宣称在4.7.1版本已经修复该漏洞,强烈建议用户尽快升级到最新版4.7.4,[font=PingFangSC, &],升级方案参见WordPress官方帮助文档 ;
- 如果短期内无法升级wordpress版本,建议您尽快关闭wordpress邮件发送功能。
情报来源:
- https://cxsecurity.com/issue/WLB-2017050014
- https://wordpress.org/news/2017/01/wordpress-4-7-1-security-and-maintenance-release/
展开
收起
版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
相关问答
