手机版
你好,游客 登录 注册
背景:
阅读新闻

Wordpress 5.0.1 发布,修复导致代码执行的关键PHP对象注入问题

[日期:2018-12-14] 来源:Linux公社  作者:醉落红尘 [字体: ]

最新的WordPress安全版本修复了一个可远程利用的PHP对象注入问题,该问题被标记为10.0临界基本分数,可能允许远程攻击者在目标系统上执行任意代码。

Wordpress团队说:“Sam Thomas发现贡献者可以以一种导致PHP对象注入的方式处理元数据。”

根据OWASP基金会的说法,“PHP对象注入是一个应用程序级漏洞,可能允许攻击者执行不同类型的恶意攻击,例如代码注入,SQL注入,路径遍历和应用程序拒绝服务,具体取决于上下文。”

这种类型的漏洞存在于用户输入的不正确的清理之前,它被传递给unserialize()PHP函数进行处理。

WordPress 5.0.1版本中修复了安全问题的情况下,成功破坏目标系统的潜在攻击者可以执行任意代码。

建议所有WordPress用户更新到5.0.1版本以阻止可能导致PHP对象注入情况的可能攻击。

Wordpress 5.0.2还修复了多个XSS和限制绕过漏洞

Wordpress 5.0.1还修复了两个安全限制绕过漏洞,这些漏洞可能允许远程攻击者绕过受攻击系统的安全限制并创建具有特制输入的帖子。

此外,此安全发布版修补了三个跨站点脚本(XSS)问题,这些问题可能导致敏感信息窃取,逐个下载攻击,网站损坏网页和网络钓鱼攻击。

WordPress的安全发布博客说:“在某些情况下,特别精心设计的URL输入可能会导致跨站点脚本漏洞。WordPress本身没有受到影响,但是插件可能在某些情况下会受到影响。”

远程攻击者可以定位运行未修补版本的WordPress的Web服务器,以利用信息泄露漏洞来访问电子邮件地址和默认密码。

Yoast团队发现用户激活屏幕可能会被一些不常见配置的搜索引擎索引,导致电子邮件地址暴露,在极少数情况下,默认生成密码,”WordPress团队补充道。

Linux公社的RSS地址https://www.linuxidc.com/rssFeed.aspx

本文永久更新链接地址https://www.linuxidc.com/Linux/2018-12/155830.htm

linux
本文评论   查看全部评论 (0)
表情: 表情 姓名: 字数

       

评论声明
  • 尊重网上道德,遵守中华人民共和国的各项有关法律法规
  • 承担一切因您的行为而直接或间接导致的民事或刑事法律责任
  • 本站管理人员有权保留或删除其管辖留言中的任意内容
  • 本站有权在网站内转载或引用您的评论
  • 参与本评论即表明您已经阅读并接受上述条款