2019年2月20日，阿里云云盾應(yīng)急響應(yīng)中心監(jiān)測(cè)到有國(guó)外安全研究人員披露WordPress存在遠(yuǎn)程代碼執(zhí)行漏洞，擁有Author發(fā)布文章權(quán)限的攻擊者，可在目標(biāo) WordPress站點(diǎn)服務(wù)器執(zhí)行任意PHP代碼。

漏洞描述

由于沒有安全檢查，文章作者更新圖片時(shí)，edit_post()函數(shù)會(huì)被觸發(fā)，該函數(shù)直接處理了$_POST數(shù)據(jù)，可導(dǎo)致惡意圖片文件傳遞至網(wǎng)站任意目錄，通過文件包含，最終可實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行漏洞。

漏洞評(píng)級(jí)

高危

影響版本

WordPress 5.0.0

WordPress 4.9.8 及之前的版本

安全建議

升級(jí)至WordPress 最新版本，官方下載鏈接：https://wordpress.org/download/