解决方案:SQL注入漏洞出现在WordPress中,用户必须立即升级到最新版本

wordpress教程 2021-01-13

解决方案:SQL注入漏洞出现在WordPress中,用户必须立即升级到最新版本

原始标题:WordPress中的SQL注入漏洞,用户必须立即升级到最新版本

WordPress发布了一个修补程序,用于修复SQL漏洞,以防止黑客劫持和控制WordPress支持的网站。建议用户尽快更新到最新版本。

WordPress表示WordPress的核心安装未直接受到影响;此漏洞存在于内核提供给插件和主题的安全功能中。换句话说,内核中存在一个漏洞,该漏洞可能使插件和主题容易受到攻击,从而导致对整个网站的恶意控制。

WordPress发布了一个安全公告,指出“ WordPress版本4.8.2和以前的版本受到影响。$ wpdb-> prepare()会发出意外且不安全的请求wordpress连接数据库,这可能导致潜在的SQL注入(SQLi)问题是WordPress的核心并未受到直接影响,但我们仍会加强防御措施,以防止插件和主题意外引起漏洞。”

Lingo Live的员工Anthony Ferrara发现了此漏洞。他指出WordPress 4.8.2已于上个月发布,以加强$ wpdb-> prepare()代码,但此更新存在问题,并且潜在的漏洞问题尚未完全解决。此外,此更新还导致“无数第三方代码和站点崩溃wordpress连接数据库,影响了大约120万行代码。”

Ferrara立即通知WordPress团队4.8.2补丁程序不足,很容易导致软件附件崩溃;但是,Ferrara指出后者一开始并不关注它,而只是在Ferrara中提供了PoC漏洞利用代码,并威胁说,在公开发布之后,发布了一个更好的修复程序,不会导致崩溃,版本4.8.3。

解决方案:SQL注入漏洞出现在WordPress中,用户必须立即升级到最新版本-

WordPress的核心受到影响了吗?

Ferrara不同意WordPress的核心不受直接影响的说法。他发布了技术细节,并指出该内核包含有问题的代码。他指出,与WordPress共享的PoC漏洞利用代码针对的是核心。有两个查询可以利用,但是它们需要获得编辑权限。

本文的作者认为WordpPress的核心SQL字符串转义代码存在缺陷,但访问者可以通过插件和工具对其进行访问。费拉拉(Ferrara)认为,已登录的编辑者也可以访问此漏洞功能。

无论如何,受影响的用户应在继续之前尽快应用补丁。

评论 (0)
    Top https://www.laoyua.com/sitemap.xml