全部产品

【漏洞公告】Wordpress <= 4.9.6 任意文件删除漏洞

更新时间:2018-06-28 15:34:49

WordPress是如今使用最为广泛的一套内容管理系统。根据 w3tech 统计,全世界大概有30%的网站运行着WordPress程序。

6月26日,RIPS团队公开了一个Wordpress的任意文件删除漏洞(需要登录),目前该漏洞仍然未修复(2018年06月28日),该漏洞影响Wordpress最新版4.9.6。

恶意攻击者可以利用该漏洞删除WordPress建站配置文件wp-config.php,从而导致界面进入网站安装页面。漏洞原因为WordPress程序 unlink() 函数在处理的用户输入传递给文件删除功能时,未进行适当判断处理,导致任意文件删除。

漏洞详情见下文


漏洞名称

Wordpress任意文件删除漏洞

官方评级

中危

漏洞描述

Wordpress <= 4.9.6 任意文件删除漏洞

漏洞利用条件和方式

任意文件删除漏洞(需要登录)

漏洞影响范围

Wordpress <= 4.9.6

漏洞检测

检查是否使用了受影响版本

漏洞修复建议(或缓解措施)

目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的下载页以获取最新版本:https://wordpress.org/download/

临时止血方案:

在当前活动的主题/子主题的 functions.php 文件中添加如下内容:

wp_fix

情报来源