关于 WordPress 任意文件删除漏洞安全预警通知

最新推荐文章于 2021-04-07 22:19:31 发布
最新推荐文章于 2021-04-07 22:19:31 发布
阅读量339 收藏
点赞数
【漏洞详情】
   WordPress 的 unlink() 函数处理的用户输入传递给文件删除功能时,会产生任意文件删除漏洞。

【风险等级】
   高风险

【漏洞风险】
   任意文件删除

【影响版本】
   目前已知受影响版本如下:
   全系列 WordPress,包括当前的 4.9.6 版本。

【修复建议】
   目前 WordPress 官方并未发布最新更新补丁,漏洞研究人员发布了临时加固措施,请用户根据自身业务情况评估后决定是否采用临时加固措施。
临时加固方案如下   在当前活动的主题/子主题的 functions.php 文件中添加如下内容:
123.png 
【温馨提醒】建议变更前提前做好数据备份和验证评估,避免变更引起业务不可用。
www360wzgjcom
关注
网络安全方向相关课题和材料
学-> 思->用
10-30 1169
搜集大量网络安全行业开源项目一个是关注互联网企业/团队的安全开源项目,经企业内部实践,这些最佳实践值得借鉴。一个是来自企业安全能力建设的需求,根据需求分类,如WAF、HIDS、Git监控等。这个收集是一个长期的过程,我在GitHub创建了这个项目,专门用来收集一些优秀的甲方安全项目。还有很多很好的免费开源项目可供选择,下面列出的还只是其中很少的一部分,我将持续更新这个项目,欢迎Star。
基于网络安全相关的开源项目技术预研分析报告
sx0522的专栏
11-10 8902
目 录 基于网络安全相关的开源项目技术预研分析报告 1 1. 预研背景 3 2. 预研目的和意义 3 3. 预研目标 3 4. 预研技术描述 3 4.1 态势感知或安全运营中心-OSSIM 3 4.1.1 OSSIM简介 3 4.1.2 OSSIM的功能 4 4.1.3 OSSIM的架构 6 4.1.4 OSSIM各个模块之间的关系 7 4.1.5 OSSIM关联引擎 8 4.1.6 OSSIM部署 11 4.2 入侵检测防御技术-Snort/Security Onion 1...
Wordpress4.9.6 任意文件删除漏洞复现分析
微赚淘客系统开发者博客
01-27 1143
第一章 漏洞简介及危害分析 1.1漏洞介绍 WordPress可以说是当今最受欢迎的(我想说没有之一)基于PHP的开源CMS,其目前的全球用户高达数百万,并拥有超过4600万次的超高下载量。它是一个开源的系统,其次它的功能也十分强大,源代码可以在这里找到。也正因为此,WordPress也成了众多黑客的攻击目标,一旦得手也就意味着数百万用户的沦陷。这种广泛的采用使其成为网络犯罪分子的一个有趣目标...
wordpresss任意文件删除漏洞复现
xy_sugar的博客
03-19 783
环境搭建(phpstudy) ​ 进入后台后,点击Media(媒体),在点击Add New (添加) ​ 进入到上传文件位置 ​ 选择一张图片上传然后点击编辑,页面跳转到如下图所示​ 然后用插件查找post.php,找到_wpnonce的值为d6c958e911 用hackbar对数据包进行修改 然后在burpsuite里面重放,发送成功返回302状态 此时在...
Wordpress <= 4.9.6 任意文件删除漏洞
weixin_34038293的博客
06-27 279
本文转载自:Wordpress <= 4.9.6 任意文件删除漏洞 - http://blog.vulnspy.com/2018/06/27/Wordpress-4-9-6-Arbitrary-File-Delection-Vulnerbility/ Wordpress <= 4.9.6 任意文件删除漏洞 WordPress是如今使用最为广泛...
WordPress安全漏洞:从任意文件删除任意代码执行
jisuyunzzc的博客
05-29 504
WordPress安全漏洞:从任意文件删除任意代码执行 WordPress是网络上最受欢迎的CMS系统。据w3tech统计,约有30%的网站运行了该系统。该系统的应用是如此广泛,难免会成为网络犯罪分子攻击目标。在这篇博文中,我们将为读者介绍WordPress内核中的一个任意文件删除漏洞,这个漏洞可能会导致攻击者执行任意代码。早在7个月前,我们就向WordPress安全团队报告了这个漏洞,但到目前为止,该漏洞仍然没有得到修补。自初次报告(该报告既没有提供任何补丁,也没有给出具体的修复计划)至今,已经过了漫长
php任意文件删除漏洞,wordpress官方公布的任意文件删除漏洞修复方法
weixin_33019705的博客
04-02 386
摘要:前些时候,RIPS团队公开了wordpress 4.9.6以及4.9.6之前版本存在的任意文件删除漏洞,通过该wordp...前些时候,RIPS团队公开了wordpress 4.9.6以及4.9.6之前版本存在的任意文件删除漏洞,通过该wordpress漏洞,有登录权有上传附件权限的用户可以随意删除网站里面的任意文件,该漏洞在4.9.7版本被修复,如果正在使用wordpress 4.9.7...
WordPress Backup Migration插件未授权RCE(CVE-2023-6553).txt
04-22
以上内容详细解析了文件提供的关于WordPress Backup Migration插件的未授权远程代码执行漏洞(CVE-2023-6553)的相关知识点。涉及到漏洞的基本情况、技术细节、修复措施以及安全社区的作用,为关注WordPress安全的...
CVE-2020-0796 SMBv3漏洞蓝屏复现+提权
anlalu233的博客
04-04 4286
1.漏洞简介 Microsoft Windows和Microsoft Windows Server都是美国微软(Microsoft)公司的产品,Microsoft Windows是一套个人设备使用的操作系统,Microsoft Windows Server是一套服务器操作系统,Server Message Block是其中的一个服务器信息传输协议。 微软公布了在Server Message Blo...
盘点近年来的各国各行较知名的互联网安全事件
chengzengchi4787的博客
06-14 2万+
Manual 盘点近年来的各国各行较知名的数据泄露、供应链污染事件 数据泄露 2019 6月 中国猎头公司 FMC Consulting 配置错误的ElasticSearch集群造成数据泄露(据文章称涉事公司收到报告毫无反应,直到CNCERT出面才下线数据) 泄露内容:数百万份简历和公司记...
6-PHP代码审计——wordpress任意文件删除
网络安全
04-07 493
本次漏洞实验是利用wordpress4.9的漏洞删除任意文件111.txt。 漏洞环境:wordpress4.9 漏洞环境的poc action=editattachment&_wpnonce=7aeafc1fe9&post_ID=12&thumb=../../../../111.txt /wp-admin/post.php?post=12&action=delete&_wpnonce=808be5ed4b 访问http://www.t...
php任意文件删除漏洞,WordPress任意文件删除漏洞修复方法
weixin_39613839的博客
04-02 300
RIPS团队公开了wordpress 4.9.6以及4.9.6之前版本存在的任意文件删除漏洞,通过该漏洞,具有登录上传附件权限的用户可以删除网站上任意文件,该漏洞在4.9.7版本被修复,如果正在使用wordpress 4.9.7以下版本的用户可以更新到最新版本修复该漏洞,不想更新的站长可以通过下面的方法修复。漏洞原理与危害由于WordPress文件wp-includes/post.php中的函数...
WordPress 漏洞详情:从任意文件删除任意代码执行
qq_57003296的博客
04-07 415
WordPress是网络上最受欢迎的CMS系统。据w3tech统计,约有30%的网站运行了该系统。该系统的应用是如此广泛,难免会成为网络犯罪分子攻击目标。在这篇博文中,我们将为读者介绍WordPress内核中的一个任意文件删除漏洞,这个漏洞可能会导致攻击者执行任意代码。早在7个月前,我们就向WordPress安全团队报告了这个漏洞,但到目前为止,该漏洞仍然没有得到修补。自初次报告(该报告既没有提供任何补丁,也没有给出具体的修复计划)至今,已经过了漫长的时间,但是仍然没有看到任何的修复迹象,所以,我们...
DedeCMS v5.7 注册用户任意文件删除漏洞 /member/inc/archives_check_edit.php
kakashs
01-15 631
漏洞名称:DedeCMS v5.7 注册用户任意文件删除漏洞 危险等级:★★★★★(高危) 漏洞文件:/member/inc/archives_check_edit.php 披露时间:2017-03-20 漏洞描述:注册会员用户可利用此漏洞任意删除网站文件。 修复方法: 打开/member/inc/archives_check_edit.php 找到大概第92行的代码: $litpic =$old...
最新2018年6月份Wordpress通杀全版本漏洞 详情及利用方法
网站安全专家
06-30 1万+
2018年6月29日,wordpress爆出最新漏洞,该网站漏洞通杀所有wordpress版本,包括目前的wordpress 4.8.6 以及wordpress 4.9.6版本。可以删除网站上的任意文件,影响危害严重,甚至是致命的一个漏洞,如果被攻击者利用,后果将不堪设想。截止目前该漏洞还未有被修复,如果您在使用wordpress,请尽快将wp-includes文件夹下的post.php文件改名,...
Wordpress漏洞
热门推荐
Grey的博客
07-19 2万+
爆路径方法: 1.http://www.chouwazi.com/wp-admin/includes/admin.php   2.http://www.chouwazi.com/wp-content/plugins/akismet/akismet.php   3.http://www.chouwazi.com/wp-content/plugins/akismet/hello.php   4...
2008-2020年 中国老年人健康长寿影响因素调查(CLHLS).zip
09-19
中国健康与养老追踪调查CHARLS是一项大型、跨学科的追踪调查项目,旨在收集中国老年人的健康、经济、社会和心理等多方面的信息。 一方面,随着医疗技术的进步和生活水平的提高,越来越多的老年人享受着健康长寿的生活;另一方面,慢性病、失能等健康问题仍然困扰着部分老年人,对他们的生活质量产生了严重影响。 数据年份:2020/2018/2015/2014/2013/2012/2011/2008 追访问卷、用户手册、原始数据等等 2008年两省试调查 2011年全国基线调查 2012年两省追踪调查 2013年全国追踪调查 2014年全国追踪调查(生命历程调查) 2015年全国追踪调查 2018年全国追踪调查 2020年全国追踪调查 Harmonized CHARLS
基于java的削面快餐店点餐服务系统的设计与实现.docx
最新发布
09-19
基于java的削面快餐店点餐服务系统的设计与实现.docx
这是一款基于AR增强现实的APP,包含AR导航,AR标签显示,AR足迹功能(毕设&课设&实训&大作业&竞赛&项目)
09-19
项目工程资源经过严格测试可直接运行成功且功能正常的情况才上传,可轻松复刻,拿到资料包后可轻松复现出一样的项目,本人系统开发经验充足(全领域),有任何使用问题欢迎随时与我联系,我会及时为您解惑,提供帮助。 【资源内容】:包含完整源码+工程文件+说明(如有)等。答辩评审平均分达到96分,放心下载使用!可轻松复现,设计报告也可借鉴此项目,该资源内项目代码都经过测试运行成功,功能ok的情况下才上传的。 【提供帮助】:有任何使用问题欢迎随时与我联系,我会及时解答解惑,提供帮助 【附带帮助】:若还需要相关开发工具、学习资料等,我会提供帮助,提供资料,鼓励学习进步 【项目价值】:可用在相关项目设计中,皆可应用在项目、毕业设计、课程设计、期末/期中/大作业、工程实训、大创等学科竞赛比赛、初期项目立项、学习/练手等方面,可借鉴此优质项目实现复刻,设计报告也可借鉴此项目,也可基于此项目来扩展开发出更多功能 下载后请首先打开README文件(如有),项目工程可直接复现复刻,如果基础还行,也可在此程序基础上进行修改,以实现其它功能。供开源学习/技术交流/学习参考,勿用于商业用途。质量优质,放心下载使用。
WordPress安全漏洞分析:双栏主题详解
书中可能会详细讲解如何识别和修复这些安全漏洞,包括对WordPress核心代码、插件和主题的审核,以及如何应用最佳实践来保护网站免受攻击。此外,可能还会讨论如何利用WordPress的内置功能如自定义CSS来增强和个性化...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值