【漏洞公告】CVE-2017-8295:WordPress Core <= 4.7.4全版本密码重置漏洞
2017年5月3日,开源CMS软件WordPress被曝出所有版本存在密码重置漏洞,该漏洞风险较高,可能存在数据泄露的风险。
具体详情如下:
漏洞编号:
CVE-2017-8295
漏洞名称:
WordPress Core <= 4.7.4全版本
官方评级:
高危
漏洞描述:
Wordpress的密码重置功能存在漏洞在某些情况下可能允许攻击者在未经身份验证的情况下获取密码重置链接,这种攻击可导致攻击者获得未经授权的WordPress帐户访问权限,从而造成数据泄露风险。
漏洞利用条件和方式:
直接远程利用
漏洞影响范围:
WordPress Core <= 4.7.4
漏洞检测:
无
漏洞修复建议(或缓解措施):
- 目前官方官方发布最新版本,建议持续关注wordpress官方最新信息;
- 如果您使用Apache 可以指定ServerName 为您网站域名,同时启用Apache的UseCanonicalName功能,以缓解该漏洞带来的风险;
UseCanonicalName On - Web中间件为Nginx不受此漏洞影响。
情报来源:
- https://w3techs.com/technologies/details/cm-wordpress/all/all
- https://exploitbox.io/vuln/WordPress-Exploit-4-7-Unauth-Password-Reset-0day-CVE-2017-8295.html
展开
收起
5
条回答
写回答
写回答
-
-
Re【漏洞公告】CVE-2017-8295WordPress Core4.7.4全版本密码重置漏洞版主贴错了吧 咋两个混一起了?2017-05-05 14:37:17赞同 展开评论 打赏 -
Re【漏洞公告】CVE-2017-8295WordPress Core4.7.4全版本密码重置漏洞这个问题首先向WordPress安全团队多次报道,第一份报告于2016年7月发送。
由于这种情况没有进展,没有官方补丁,开始向公众发布。
这漏洞貌似执行条件比较苛刻2017-05-05 14:09:05赞同 展开评论 打赏 -
-
Re【漏洞公告】CVE-2017-8295WordPress Core4.7.4全版本密码重置漏洞漏洞修复建议(或缓解措施):
目前官方暂未发布最新版本,建议持续关注wordpress官方最新版本信息。2017-05-04 14:36:31赞同 展开评论 打赏
版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
相关问答
