【漏洞公告】WordPress全版本WPDBSQL注入漏洞

2017年10月30日，WordPress官方發佈4.8.3版本修復了一個重要的SQL注入漏洞，該漏洞因爲WordPress中$wpdb編碼不規範，致使能夠接收和執行不安全的查詢，致使潛在的SQL注入，存在高安全風險。 
具體詳情以下:                                                                                                                                                漏洞編號:  
暫無 
漏洞名稱:  
WordPress全版本WPDB SQL注入漏洞 
官方評級:  
高危 
漏洞描述:  
WordPress版本4.8.2及以前版本受到該漏洞的影響: $wpdb->prepare()能夠接收和執行不安全的查詢，致使潛在的SQL注入（SQLi）。 
WordPress核心並不容易直接受到這個漏洞的影響。 
漏洞利用條件和方式:  
經過PoC直接遠程利用。 
PoC狀態: 
未公開 
漏洞影響範圍:  
WordPress <4.8.3版本 
漏洞檢測:  
開發人員檢查是否使用了受影響版本範圍內的WordPress。 
漏洞修復建議(或緩解措施):  

• WordPress官方已經發布最新版本，推薦升級官方最新版本WordPress 4.8.3 ，用戶能夠經過點擊後臺的儀表盤->更新。
• 能夠使用雲盾WAF 進行入侵防護，防止發生安全事件。

 

原文鏈接：http://click.aliyun.com/m/34030/