阿里云首页 阿里云安全产品和技术

【漏洞公告】Wordpress<=4.9.6任意文件删除漏洞

WordPress是如今使用最为广泛的一套内容管理系统。根据w3tech统计,全世界大概有30%的网站运行着WordPress程序。

06月26日,RIPS团队公开了一个Wordpress的任意文件删除漏洞(需要登录),目前该漏洞仍然未修复(2018年06月28日),该漏洞影响Wordpress最新版4.9.6。

恶意攻击者可以利用该漏洞删除WordPress建站配置文件wp-config.php,从而导致界面进入网站安装页面。漏洞原因为WordPress程序unlink()函数在处理的用户输入传递给文件删除功能时,未进行适当判断处理,导致任意文件删除。

漏洞详情见下文

漏洞名称

Wordpress任意文件删除漏洞

官方评级

中危

漏洞描述

Wordpress<=4.9.6任意文件删除漏洞

漏洞利用条件和方式

任意文件删除漏洞(需要登录)

漏洞影响范围

Wordpress<=4.9.6

漏洞检测

检查是否使用了受影响版本

漏洞修复建议(或缓解措施)

目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的下载页以获取最新版本: https://wordpress.org/download/

临时止血方案

在当前活动的主题/子主题的functions.php文件中添加如下内容:

情报来源