wordpress 4.7.2 php,WordPress 4.7.2 漏洞复现简记

VIP文章 于 2021-04-01 11:06:53 发布
阅读量438 收藏
点赞数
文章标签: wordpress 4.7.2 php

[01] WordPress Tool "Press This" CSRF DoS

一个典型的CSRF,WP采用了form-get型修复方案。

功能点

297d4e4f1de3b3b6cad3c7bc88952438.png

即先将PressThis的链接存入浏览器书签,然后在看到感兴趣的其他web页面时,直接点击这个书签,就可以在WP的编辑器中引用这个页面。

028c8edbc8eb1cc1ecbb7397797b4199.png

该功能在Scan模式下还会爬取网页中的资源(如图片等)并置入编辑器界面供作者使用。

52f1d73075ed29015fcdf92cedb2ff51.png

漏洞与利用

这个Scan操作并未做CSRF检验,其访问的资源大小也未做限制,攻击者构造链接诱导管理员访问含有超大文件的页面可造成DoS。

提供的PoC如下:

最低0.47元/天 解锁文章
工程师小C
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
WordPress v4.7.2 正式版
12-02
WordPress是一个注重美学、易用性和网络标准的个人信息发布平台。WordPress 虽为的开源软件,但其价值是无法用金钱来衡量。使用WordPress可以搭建功能强大的网络信息发布平台,但更多的是应用于个性化的博客。针对...
WordPress 4.7.2 安全修复升级,避免被黑
janever99的专栏
07-09 218
WordPress开发团队发布了WordPress 4.7.2安全修复升级版本。这一版本主要修复了早前版本中存在的安全漏洞,我们强烈推荐你升级到这一最新版本。 wp-4-7 WordPress 4.7.1以及早前版本中发现的漏洞包括: WordPress后台的快速发布工具中,设置类别的用户界面会显示给没有权限的用户。 WP_Query 中存在传递不安全数据的 SQLi (数据库注入)漏洞。这个漏洞WordPress 核心程序没有任何影响,但第三方的插件和主题有可能会受到影响。 在文章列表的表格中发现
立即更新到WORDPRESS 4.7.2!
culu1614的博客
08-12 103
WordPress Version 4.7.2 was released primitively to correct three security flaws, which included a SQL injection and XSS (cross-site scripting) flaw. Administrators who have yet to update their WordPr...
WordPress REST API 内容注入/权限提升漏洞
huckers的博客
02-04 1991
WordPress 是一个以 PHP 和 MySQL 为平台的自由开源的博客软件和内容管理系统,至少有 1800 万个网站使用该系统。在 4.7.0 版本后,REST API 插件的功能被集成到 WordPress 中,由此也引发了一些安全性问题。WordPress REST API 内容注入/权限提升漏洞于 1 月 22 日被安全公司 Sucuri 研究员 Marc-Alexandre Mont...
Centos下建立apache+mysql+php+wordpress网站
逝水无痕博客
03-05 591
本人博客地址:zyjblogs.cn 一、安装LAMP: 下载安装php ,apache采用如下命令: yum -y install httpd php php-mysql php-gd php-xml 命令解释:-y 表示安装过程中全部选择yes mysql安装 发现centos7 将mysql从默认的程序列表中删除了,用mariadb代替了,mariadb是mysql的...
solr4.7.2环境搭建
chy2z的专栏
02-04 400
系统环境 win7 64位 jdk 7 solr 4.7.2 apache-tomcat-7.0.69 下载地址 http://archive.apache.org/dist/lucene/solr/ 下载解压 D:\Soft\solr-4.7.2 目录说明 contrib:solr功能模块需要的库,根据需要引用 dist:发布目录 docs:Solr 文档及教程目录...
liunx WordPress 安装(超详细)
zzg_1990的专栏
09-12 3456
需要 一台服务器(文章介绍了购买vultr服务器的流程,如果已买服务器请忽略)一个域名,直接通过ip访问好傻好傻的样子,哈哈。linux知识肯折腾 具体步骤 购买服务器 以Xshell为例。 下载安装Xshell,官网链接。安装完成后新建会话(Alt+N)。依次填写图中信息。 名称可以是Vultr或者其他,协议选择SSH,主机填写之前的IP Address,端口号选择22。
LAMP本地搭建DISCUZ论坛和WORDPRESS博客
热门推荐
King config
12-10 1万+
首先,服务器只有一台 公网ip只有一个 通过域名方式 2.通过端口方式
php .net2 .net4,.Net Framework 4.7.2安装失败
weixin_36286774的博客
03-22 1759
昨天安装Framework4.7.2时死活无法安装,系统提示“尚未安装.net Framework4.7.2,原因是:指定的信任提供程序不认识或不支持使用者的指定格式”查看安装日志,具体错误信息如下:OS Version = 6.1.7601, SP = 1.0, Platform 2, Service Pack 1OS Description = Win7 – x86 Service Pack ...
wordpress简体中文 v4.7.2
12-02
WordPress是一个注重美学、易用性和网络标准的个人信息发布平台。WordPress 虽为的开源软件,但其价值是无法用金钱来衡量。使用WordPress可以搭建功能强大的网络信息发布平台,但更多的是应用于个性化的博客。针对...
wordpress-4.7.2-zh_CN.tar.gz
03-25
wordpress-4.7.2-zh_CN.tar.gz
wordpress-4.7.2-zh_CN.zip
01-05
wordpress-4.7.2-zh_CN.zip
Postman 4.7.2
06-08
Postman 4.7.2Postman 4.7.2Postman 4.7.2Postman 4.7.2Postman 4.7.2Postman 4.7.2Postman 4.7.2Postman 4.7.2Postman 4.7.2Postman 4.7.2Postman 4.7.2Postman 4.7.2Postman 4.7.2Postman 4.7.2Postman 4.7.2...
华为OD机试D卷 - 用连续自然数之和来表达整数 - 免费看解析和代码.html
05-10
私信博主免费获取真题解析以及代码
Screenshot_2024-05-10-20-21-01-857_com.chaoxing.mobile.jpg
05-10
Screenshot_2024-05-10-20-21-01-857_com.chaoxing.mobile.jpg
数字图像处理|Matlab-频域增强实验-彩色图像的频域滤波.zip
最新发布
05-10
数字图像处理|Matlab-频域增强实验-彩色图像的频域滤波.zip
2024-2030中国定向转向膜市场现状研究分析与发展前景预测报告.docx
05-10
2024-2030中国定向转向膜市场现状研究分析与发展前景预测报告
开源工时填报管理系统安装包
05-10
开源工时填报管理系统安装包
.net 4.7.2 csdn
01-14
它修复了一些已知的问题和漏洞,并提供了更好的错误处理和故障恢复机制,确保应用程序的稳定运行。 .NET 4.7.2还引入了一些新的功能,以提高开发人员的生产力。例如,它提供了更好的异步编程模型,使开发人员能够更...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值