开发者社区> 问答> 正文

【漏洞公告】CVE-2016-10033:WordPress 未授权远程代码执行漏洞

正禾 2017-05-04 08:59:28 2506
2017年5月3日,开源CMS软件WordPress被曝出多个漏洞,其中一个高危漏洞可以远程执行任意代码,从而获取服务权限。
具体详情如下:                                 
                        
漏洞编号:
CVE-2016-10033
漏洞名称:
WordPress 未授权远程代码执行漏洞
官方评级:
高危
漏洞描述:
该漏洞存在于广泛使用的 PHPMailer mail()函数功能,通过该功能可以运行构造的恶意代码,触发该漏洞从而导致获取系统权限。
漏洞利用条件和方式:
系统必须要安装Exim4环境下,远程攻击者可以直接利用该漏洞攻击成功。
漏洞影响范围:
  • WordPress <4.7.1
  • PHPMailer <5.2.20

漏洞检测:
  • 检查WordPress是否在受影响版本内
  • 检查PHPMailer版本:打开wordpress/wp-includes/class-php-mailer.php文件查看对应的PHPMailer版本

漏洞修复建议(或缓解措施):
  • 目前已经公开了POC,官方公告 已经宣称在4.7.1版本已经修复该漏洞,强烈建议用户尽快升级到最新版4.7.4,[font=PingFangSC, &],升级方案参见WordPress官方帮助文档  ;
  • 如果短期内无法升级wordpress版本,建议您尽快关闭wordpress邮件发送功能。

情报来源:
  • https://cxsecurity.com/issue/WLB-2017050014
  • https://wordpress.org/news/2017/01/wordpress-4-7-1-security-and-maintenance-release/






安全
分享到
取消 提交回答
全部回答(2)
  • 正禾
    2017-05-04 14:08:49
    回 1楼(送小孩) 的帖子
    感谢提示!
    0 0
  • 送小孩
    2017-05-04 14:01:15
    Re【漏洞公告】CVE-2016-10033WordPress 未授权远程代码执行漏洞
    老大,有错别字。

    漏洞描述倒数三个字……
    0 0
添加回答
+ 订阅

云安全开发者的大本营

推荐文章
相似问题
推荐课程