释放双眼,带上耳机,听听看~!
尊敬的安全用户:
2017年5月3日,开源CMS软件WordPress被曝出多个漏洞,其中一个高危漏洞可以远程执行任意代码,从而获取服务权限。
具体详情如下,请您关注:
漏洞编号:
CVE-2016-10033
漏洞名称:
WordPress 未授权远程代码执行漏洞
官方评级:
高危
漏洞描述:
该漏洞存在于广泛使用的PHPMailer mail()函数功能,通过该功能可以运行构造的恶意代码,触发该漏洞从而导致获取系统权限。
漏洞利用条件和方式:
在默认配置、无插件、无认证的条件下直接远程利用
漏洞影响范围:
WordPress <4.7.1
漏洞检测:
检查是否在受影响版本内
漏洞修复建议(或缓解措施):
目前已经公开了POC,官方公告 已经宣称在4.7.1版本已经修复该漏洞,建议用户尽快升级到最新版4.7.4 :
情报来源:
- https://cxsecurity.com/issue/WLB-2017050014
- https://wordpress.org/news/2017/01/wordpress-4-7-1-security-and-maintenance-release/
