【漏洞公告】CVE-2017-8295:WordPress Core <= 4.7.4全版本密码重置漏洞-问答-阿里云开发者社区-阿里云

开发者社区> 问答> 正文

【漏洞公告】CVE-2017-8295:WordPress Core <= 4.7.4全版本密码重置漏洞

正禾 2017-05-04 13:50:01 4369
2017年5月3日,开源CMS软件WordPress被曝出所有版本存在密码重置漏洞,该漏洞风险较高,可能存在数据泄露的风险。
具体详情如下:                                 
                          
漏洞编号:
CVE-2017-8295
漏洞名称:
WordPress Core <= 4.7.4全版本
官方评级:
高危
漏洞描述:
Wordpress的密码重置功能存在漏洞在某些情况下可能允许攻击者在未经身份验证的情况下获取密码重置链接,这种攻击可导致攻击者获得未经授权的WordPress帐户访问权限,从而造成数据泄露风险。
漏洞利用条件和方式:
直接远程利用
漏洞影响范围:
WordPress Core <= 4.7.4
漏洞检测:

漏洞修复建议(或缓解措施):
  • 目前官方官方发布最新版本,建议持续关注wordpress官方最新信息;
  • 如果您使用Apache 可以指定ServerName 为您网站域名,同时启用Apache的UseCanonicalName功能,以缓解该漏洞带来的风险;UseCanonicalName On
  • Web中间件为Nginx不受此漏洞影响。

情报来源:
  • https://w3techs.com/technologies/details/cm-wordpress/all/all
  • https://exploitbox.io/vuln/WordPress-Exploit-4-7-Unauth-Password-Reset-0day-CVE-2017-8295.html










安全 中间件 应用服务中间件 Apache 数据安全/隐私保护 nginx
分享到
取消 提交回答
全部回答(5)
  • 正禾
    2017-05-08 09:48:23
    回 4楼(tim2) 的帖子
    您好,这是两个完全不同的漏洞。
    0 0
  • tim2
    2017-05-05 14:37:17
    Re【漏洞公告】CVE-2017-8295WordPress Core4.7.4全版本密码重置漏洞
    版主贴错了吧 咋两个混一起了?
    0 0
  • dawos
    2017-05-05 14:09:05
    Re【漏洞公告】CVE-2017-8295WordPress Core4.7.4全版本密码重置漏洞
    这个问题首先向WordPress安全团队多次报道,第一份报告于2016年7月发送。

    由于这种情况没有进展,没有官方补丁,开始向公众发布。

    这漏洞貌似执行条件比较苛刻
    0 0
  • 悟天克斯
    2017-05-05 10:58:00
    Re【漏洞公告】CVE-2017-8295WordPress Core4.7.4全版本密码重置漏洞
    可怕
    0 0
  • 送小孩
    2017-05-04 14:36:31
    Re【漏洞公告】CVE-2017-8295WordPress Core4.7.4全版本密码重置漏洞
    漏洞修复建议(或缓解措施):  
    目前官方暂未发布最新版本,建议持续关注wordpress官方最新版本信息。
    0 0
添加回答

集结各类场景实战经验,助你开发运维畅行无忧

推荐文章
相似问题