2017年5月3日,开源CMS软件WordPress被曝存在密码重置漏洞。该漏洞风险较高,影响WordPress全版本,可能引发数据泄露。
漏洞详情见下文。
漏洞编号
CVE-2017-8295
漏洞名称
WordPress Core <= 4.7.4 全版本密码重置漏洞
官方评级
高危
漏洞描述
WordPress的密码重置功能存在漏洞。在某些情况下,该功能会允许攻击者未经身份验证,直接获取密码重置链接。这种攻击可能导致攻击者获得未经授权的WordPress账户访问权限,从而造成数据泄露风险。
漏洞利用条件和方式
直接远程利用
漏洞影响范围
WordPress Core <= 4.7.4
漏洞检测
无
漏洞修复建议(或缓解措施)
持续关注WordPress官方发布的最新版本信息,并及时升级到最新版本。
情报来源
[1]. https://w3techs.com/technologies/details/cm-wordpress/all/all
[2]. https://exploitbox.io/vuln/WordPress-Exploit-4-7-Unauth-Password-Reset-0day-CVE-2017-8295.html