WordPress 5.0.0 远程代码执行高危漏洞

背景信息:

2019年2月20日,有国外安全研究人员披露WordPress存在远程代码执行漏洞,拥有Author发布文章权限的攻击者,可在目标 WordPress站点服务器执行任意PHP代码。

漏洞描述:

由于没有安全检查,文章作者更新图片时,edit_post()函数会被触发,该函数直接处理了$_POST数据,可导致恶意图片文件传递至网站任意目录,通过文件包含,最终可实现远程代码执行漏洞。

漏洞定级:

高危

漏洞影响范围:

  1. WordPress 5.0.0
  2. WordPress 4.9.8 及之前的版本

漏洞处置建议:

升级至WordPress 最新版本,官方下载链接:https://wordpress.org/download/

相关推荐:
漏洞描述: 2018年01月22日,外国安全研究人员发现PHP环境存在拒绝服务漏洞,通过该漏洞,利用精心构造的GIF图片PoC触发PHP函数循环挂起,导致网站功能受到影响,从而影响服务不可用,目前PoC已公开,由于 …
背景信息: 2019年3月26日,监测到Apache Tomcat近日发布安全更新,披露了1个远程拒绝服务的漏洞:CVE-2019-0199,开启HTTP/2的Apache Tomcat可被远程拒绝服务攻击。 漏洞描述: Apache Tomcat在实现HTTP/2 …
背景信息: Gitlab Wiki API 是一组用于对Gitlab项目Wiki页面进行创建、编辑、列表、删除等功能的接口。 漏洞描述: 该API在处理外部输入时未做有效过滤,导致攻击者构造特定的恶意请求,可以在目标服务器 …
漏洞描述: Vim 和 NeoVim 曝出了一个允许任意代码执行的高危漏洞。漏洞编号 CVE-2019-12735。 漏洞位于编辑器的 modelines 功能中,该功能允许用户指定窗口大小和其它定制选项,modelines 限制了沙盒内可 …
漏洞描述: 国外著名的远程管理软件公司NetSarang旗下多款客户端连接软件产品(Xmanager、Xshell、Xftp 和 Xlpd)被曝植入后门,存在敏感信息数据泄露风险。 漏洞定级: 高危 漏洞影响范围: 受影响版本:Xman …
拿起手机扫一扫即可带走我!