信息安全

信息安全 首页 > 信息安全 > 信息安全 > 正文

【华中科技大学 - 漏洞预警】Wordpress <= 4.9.6 任意文件删除漏洞

发布时间:2018-06-28 浏览次数:

昨日,互联网上公开了Wordpress <= 4.9.6的任意文件删除漏洞及分析利用材料。该漏洞影响Wordpress全部版本(<= 4.9.6)。在攻击者获得基础权限后,可升级角色权限,从而做到任意文件删除并在服务器上至下任意代码。

漏洞概述

Worspress是如今使用最为广泛的一套内容管理系统。

Wordpress <= 4.9.6存在任意文件删除漏洞,在攻击者获得编辑和删除媒体文件的权限前提下,利用此漏洞,攻击者能够删除Wordpress安装的任何文件,若没有及时备份可导致灾难性后果;同时,攻击者可利用任意文件删除功能绕过一些安全措施,并在WEB服务器上执行任意代码。

漏洞危害

在攻击者获得编辑和删除媒体文件的权限前提下,利用此漏洞,攻击者能够删除Wordpress安装的任何文件,若没有及时备份可导致灾难性后果;同时,攻击者可利用任意文件删除功能绕过一些安全措施,并在WEB服务器上执行任意代码。

受影响范围

Wordpress <= 4.9.6

修复建议

目前,互联网上有临时修复方案,建议用户做好网站备份并根据实际情况实施修复。

临时修复方案:https://blog.ripstech.com/2018/wordpress-file-delete-to-code-execution/

官方修复信息尚未发布,建议用户及时关注官方平台发布的修复信息。

官方参考链接:https://wordpress.org/

版权所有:华中科技大学网络与计算中心

地址:湖北省武汉市洪山区珞喻路1037号 邮编:430074 电话:027-87543141 传真:027-87543741