全部产品
Search
文档中心

【漏洞公告】WordPress WPDB SQL注入漏洞

更新时间: 2018-05-10

2017年10月30日,WordPress官方发布4.8.3版本修复了一个重要的SQL注入漏洞。该漏洞由于WordPress中$wpdb编码不规范,可以接收和执行不安全的查询,导致潜在的SQL注入,存在高安全风险。

漏洞详情见下文。


漏洞编号

暂无

漏洞名称

WordPress全版本WPDB SQL注入漏洞

官方评级

高危

漏洞描述

$wpdb->prepare()可以接收和执行不安全的查询,导致潜在的SQL注入,但是WordPress核心并不容易直接受到这个漏洞的影响。

漏洞利用条件和方式

通过PoC直接远程利用。

PoC状态

暂未公开。

漏洞影响范围

WordPress < 4.8.3

漏洞检测

开发人员检查是否使用了受影响版本范围内的Typecho,并检查install目录是否存在。

漏洞修复建议(或缓解措施)

  • WordPress官方已经发布最新版本,推荐升级官方最新版本WordPress 4.8.3 ,用户可以通过选择后台的仪表盘 > 更新 进行升级。

  • 您也可以使用云盾WAF进行入侵防御,防止发生安全事件。

情报来源

[1]. WordPress官方安全公告:https://wordpress.org/news/2017/10/wordpress-4-8-3-security-release/
[2]. https://blog.ircmaxell.com/2017/10/disclosure-wordpress-wpdb-sql-injection-technical.html