开发者社区> 问答> 正文

【漏洞公告】CVE-2017-8295:WordPress Core <= 4.7.4全版本密码重置漏洞

2017年5月3日,开源CMS软件WordPress被曝出所有版本存在密码重置漏洞,该漏洞风险较高,可能存在数据泄露的风险。
具体详情如下:                                 
                          


漏洞编号:
CVE-2017-8295
漏洞名称:
WordPress Core <= 4.7.4全版本
官方评级:
高危
漏洞描述:
Wordpress的密码重置功能存在漏洞在某些情况下可能允许攻击者在未经身份验证的情况下获取密码重置链接,这种攻击可导致攻击者获得未经授权的WordPress帐户访问权限,从而造成数据泄露风险。
漏洞利用条件和方式:
直接远程利用
漏洞影响范围:
WordPress Core <= 4.7.4
漏洞检测:

漏洞修复建议(或缓解措施):
  • 目前官方官方发布最新版本,建议持续关注wordpress官方最新信息;
  • 如果您使用Apache 可以指定ServerName 为您网站域名,同时启用Apache的UseCanonicalName功能,以缓解该漏洞带来的风险;UseCanonicalName On
  • Web中间件为Nginx不受此漏洞影响。

情报来源:
  • https://w3techs.com/technologies/details/cm-wordpress/all/all
  • https://exploitbox.io/vuln/WordPress-Exploit-4-7-Unauth-Password-Reset-0day-CVE-2017-8295.html










展开
收起
正禾 2017-05-04 13:50:01 5518 0
5 条回答
写回答
取消 提交回答
  • 云安全专家,专业研究云安全5年+,擅长云安全防护体系建设和安全运营。
    回 4楼(tim2) 的帖子
    您好,这是两个完全不同的漏洞。
    2017-05-08 09:48:23
    赞同 展开评论 打赏
  • Re【漏洞公告】CVE-2017-8295WordPress Core4.7.4全版本密码重置漏洞
    版主贴错了吧 咋两个混一起了?
    2017-05-05 14:37:17
    赞同 展开评论 打赏
  • Re【漏洞公告】CVE-2017-8295WordPress Core4.7.4全版本密码重置漏洞
    这个问题首先向WordPress安全团队多次报道,第一份报告于2016年7月发送。

    由于这种情况没有进展,没有官方补丁,开始向公众发布。

    这漏洞貌似执行条件比较苛刻
    2017-05-05 14:09:05
    赞同 展开评论 打赏
  • Re【漏洞公告】CVE-2017-8295WordPress Core4.7.4全版本密码重置漏洞
    可怕
    2017-05-05 10:58:00
    赞同 展开评论 打赏
  • Re【漏洞公告】CVE-2017-8295WordPress Core4.7.4全版本密码重置漏洞
    漏洞修复建议(或缓解措施):  
    目前官方暂未发布最新版本,建议持续关注wordpress官方最新版本信息。
    2017-05-04 14:36:31
    赞同 展开评论 打赏
问答排行榜
最热
最新

相关电子书

更多
低代码开发师(初级)实战教程 立即下载
冬季实战营第三期:MySQL数据库进阶实战 立即下载
阿里巴巴DevOps 最佳实践手册 立即下载