WordPress缓存插件可远程执行PHP代码

j4cky 2013-04-25 173059人围观 ,发现 5 个不明物体 漏洞

*本文中涉及到的相关漏洞已报送厂商并得到修复,本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担。

WordPress 最受欢迎的缓存插件 WP Super Cache 和 W3 Total Cache 有大约 6 百万的下载,现在被发现这两个插件同存在了安全漏洞,该漏洞允许远程用户在服务器上执行任意的 PHP代码

缓存插件的目的是通过将页面保存在内存中来提升网站访问的性能。目前 WP Super Cache 1.2 及以下版本和 W3 Total Cache 的0.9.2.8及以下版本都存在该漏洞,建议用户立即升级到 WP Super Cache (1.3.1) and W3 Total Cache(0.9.2.9)

该问题在一个月前就已经在 WordPress 的论坛上报告,这里有一篇博客解释该漏洞的详情。攻击者可以在评论中编写 PHP代码并提交,首个刷新的页面将执行代码片段解析并执行页面上的 PHP代码。通过禁用动态代码片段可以阻止此问题,但更简单的方法是升级插件。

[感谢j4cky投递 译oschina via h-online]

更多精彩
相关推荐
发表评论

已有 5 条评论

取消
Loading...

j4cky

这家伙太懒,还未填写个人描述!

226 文章数 0 评论数 1 关注者

文章目录

    特别推荐

    推荐关注

    官方公众号

    聚焦企业安全

    填写个人信息

    姓名
    电话
    邮箱
    公司
    行业
    职位
    css.php