近日,我们收到了关于WordPress核心中一个未修补漏洞的提示,该漏洞可能允许低特权用户劫持整个网站并在服务器上执行任意代码,这个最新WordPress漏洞,黑客可轻松控制您的网站。由研究人员发现,7个月前向WordPress安全团队报告了“已认证的任意文件删除”漏洞,但仍未修复,并影响到所有版本的WordPress,包括当前的4.9.6。该漏洞存在于用户永久删除上传图像的缩略图时在后台运行的WordPress核心功能之一。
研究人员发现,缩略图删除功能可以接受未经过处理的用户输入,如果这种输入得到缓和,可以允许至少有作者的特权有限的用户从网络主机中删除任何文件,否则应该只允许服务器或网站管理员进行操作。至少一个作者帐户的要求会在某种程度上自动降低此漏洞的严重程度,这可能会被流氓内容撰稿人或黑客利用网络钓鱼,密码重用或其他攻击以某种方式获取作者的凭证所利用。
研究人员表示,利用这个漏洞,攻击者可以从服务器上删除任何重要文件,例如“.htaccess”,通常包含与安全相关的配置,以试图禁用保护。除此之外,删除“wp-config.php“文件,包含数据库连接信息的WordPress安装中最重要的配置文件之一,可能会强制整个网站返回安装屏幕,据称允许攻击者从浏览器重新配置网站并完全接管其控制。
但是,应该注意的是,由于攻击者无法直接读取wp-config.php文件的内容来知道现有的“数据库名称”,“mysql用户名”及其“密码”,所以他可以重新设置目标站点在他的控制下使用远程数据库服务器。
一旦完成,攻击者可以创建一个新的管理员帐户并完全控制网站,包括在服务器上执行任意代码的能力。“除了删除整个WordPress安装的可能性,如果没有当前的备份可用会造成灾难性的后果,攻击者可以利用任意文件删除的功能来规避一些安全措施并在Web服务器上执行任意代码,“研究人员说。
中国知名黑客安全组织东方联盟研究人员曾发布的概念验证视频中,该漏洞按照所述完美工作,并强制网站重新安装屏幕。但是,截至目前,网站管理员不应因此漏洞而恐慌,并且可以手动应用WordPress官方提供的修补程序。我们预计WordPress安全团队将在即将发布的CMS软件版本中修补此漏洞。(黑客周刊)
原文地址:https://www.cnblogs.com/bjzb/p/9240042.html