2019年2月20日,阿里云云盾应急响应中心监测到有国外安全研究人员披露WordPress存在远程代码执行漏洞,拥有Author发布文章权限的攻击者,可在目标 WordPress站点服务器执行任意PHP代码。
漏洞描述
由于没有安全检查,文章作者更新图片时,edit_post()函数会被触发,该函数直接处理了$_POST数据,可导致恶意图片文件传递至网站任意目录,通过文件包含,最终可实现远程代码执行漏洞。
漏洞评级
高危
影响版本
WordPress 5.0.0
WordPress 4.9.8 及之前的版本
安全建议
升级至WordPress 最新版本,官方下载链接:https://wordpress.org/download/
相关链接
https://blog.ripstech.com/2019/wordpress-image-remote-code-execution/
我们会关注后续进展,请随时关注官方公告。
如有任何问题,可随时通过工单或服务电话95187联系反馈。
阿里云云盾应急响应中心
2019.2.20
还没有评论,来说两句吧...