安全動態(tài)

關于WordPress WPDB SQL注入漏洞的安全公告

來源:聚銘網(wǎng)絡    發(fā)布時間:2017-11-02    瀏覽次數(shù):
 

信息來源:國家互聯(lián)網(wǎng)應急中心

       近日,國家信息安全漏洞共享平臺(CNVD)收錄了WordPress WPDB SQL注入漏洞(CNVD-2017-32143)。遠程攻擊者利用該漏洞可造成SQL注入攻擊,獲取數(shù)據(jù)庫敏感信息。漏洞的詳細細節(jié)已公開,近期被不法分子利用進行出現(xiàn)大規(guī)模攻擊嘗試的可能性較大。
        一、漏洞情況分析
        WordPress是使用PHP語言和MySQL數(shù)據(jù)庫開發(fā)的,世界上使用最廣泛的博客系統(tǒng),并逐步演化成一款內(nèi)容管理軟件。
        2017年10月31日,WordPress官方發(fā)布了WordPress安全更新并修復了一處SQL注入漏洞,即$wpdb-prepare()函數(shù)可以創(chuàng)建無法預測且不安全的查詢,從而導致潛在的SQL注入(SQLi),但WordPress核心并不容易直接受到該漏洞的影響。CNVD對上述漏洞的綜合評級為“高?!薄?
        二、漏洞影響范圍
        漏洞影響WordPress 4.8.2及之前版本。
        三、漏洞修復建議
        支持自動更新的用戶可以通過點擊后臺的儀表盤更新到4.8.3版本,也可手動下載更新:https://wordpress.org/download/
        附:參考鏈接:
        https://wordpress.org/news/2017/10/wordpress-4-8-3-security-release/
        https://blog.ircmaxell.com/2017/10/disclosure-wordpress-wpdb-sql-injection-technical.html
        http://www.cnvd.org.cn/flaw/show/CNVD-2017-32143

 
 

上一篇:李克強主持國務院常務會決定:加快建設和發(fā)展工業(yè)互聯(lián)網(wǎng)

下一篇:2017年11月02日 聚銘安全速遞