【漏洞公告】WordPress全版本WPDBSQL注入漏洞

2017年10月30日，WordPress官方发布4.8.3版本修复了一个重要的SQL注入漏洞，该漏洞因为WordPress中$wpdb编码不规范，致使能够接收和执行不安全的查询，致使潜在的SQL注入，存在高安全风险。 
具体详情以下:                                                                                                                                                漏洞编号:  
暂无 
漏洞名称:  
WordPress全版本WPDB SQL注入漏洞 
官方评级:  
高危 
漏洞描述:  
WordPress版本4.8.2及以前版本受到该漏洞的影响: $wpdb->prepare()能够接收和执行不安全的查询，致使潜在的SQL注入（SQLi）。 
WordPress核心并不容易直接受到这个漏洞的影响。 
漏洞利用条件和方式:  
经过PoC直接远程利用。 
PoC状态: 
未公开 
漏洞影响范围:  
WordPress <4.8.3版本 
漏洞检测:  
开发人员检查是否使用了受影响版本范围内的WordPress。 
漏洞修复建议(或缓解措施):  

• WordPress官方已经发布最新版本，推荐升级官方最新版本WordPress 4.8.3 ，用户能够经过点击后台的仪表盘->更新。
• 能够使用云盾WAF 进行入侵防护，防止发生安全事件。

 

原文链接：http://click.aliyun.com/m/34030/