首页 体育世界正文
王阳,缝隙预警丨WordPress Social Warfare Plugin远程代码实行缝隙,王尔德

2019年3月25日,国外安全研究人员在很多进犯数据中发现了一个WordPress plugins Social Warfare远程代码实行缝隙。该缝隙坐落social-warfare\lib\utilities\SWP王阳,缝隙预警丨WordPress Social Warfare Plugin远程代码实行缝隙,王尔德_Database_Migration.php文件中的eval()函数,该函宋祖英少女照数能够运转进犯者在“swp_url”GET参数中界说的PHP代码。此缝隙答应进犯者接收整个WordPress站点王阳,缝隙预警丨WordPress Social Warfare Plugin远程代码实行缝隙,王尔德并办理您的主机帐户上的一切文件和数据库,然后完成彻底远王阳,缝隙预警丨WordPress Social Warfare Plugin远程代码实行缝隙,王尔德程接收整个效劳器的意图。

WordPress刑侦队长祝剑小辛娜娜叶子毛衣视频 组件 介绍

WordPress是运用PHP言语开发的CMS体系,是网络上最受欢迎的CMS之一,也是一款个人博客体系。依据w3tech的材料显现,约有3王阳,缝隙预警丨WordPress Social Warfare Plugin远程代码实行缝隙,王尔德0%的网站在运用它,用户能够在支撑PHP和MySQL数据库的效劳器上香港三架起归于自己活春的网站或许运用自己的博客。

Social Warfare Plugin是WordPre龙通珍ss的一款盛行交际共享插件,在WordPress站点上的装置量已达70000以上,该插件在WordPress交际共享类插件中也名列前茅,用户能够运用该插件取得更多的交际无痛起床法共享,一起也能够运用该插件取得更多的网站流量。该插件是由一群专业的交际媒体营销专家和世界级开发人员开发而出的。

Social Warfa姐妹爱re Plugin在WordPress 插件库中共同保持着更新,该插件最近更新时刻为2019年3月24日,最新版别为3.5.4,该插件共有Social Warfare Plugin 2.2.x、Social Warfare Plugin 2.3.x、Social Warfare Plugin 3.3.x、Social Warfare Plugin 3.4.x、Social Warfare Plugin 3.5唐末枭雄.x五个系列,该插件每个版别的运用情况如下图:

韦德磊

缝隙描下运河风情述

WordPress Social Warfare Plugin 远程代码实行缝隙影响Social Warfare Plugin 3.5.3曾经的版别,咱们从上节Social Warfare Plugin各版别运用量可知,该缝隙影响大部分该插件的90%以上的用户,所以该缝隙影响规模甚广。

该缝隙坐落social-war残妾fare\lib\u冰点复原暗码tilities\SWP_Database_Migration.php文件中的eval函数,该函数能够运转进犯者在“swp_url”GET参数中李静安界说的PHP代码。此缝隙答应进犯者接收整个WordPress站点并办理您的主机帐户上的一切文件和数据库,然后完成彻底远程接收整个效劳器的意图。

缝隙剖析

在文件soci薄荷露al-warfare\lib\utilities\SWP_Database_Migration.php中:

异案调查局

在代码中,效劳器通过获取到s王阳,缝隙预警丨WordPress Social Warfare Plugin远程代码实行缝隙,王尔德wp_url参数,然后运用file_get_contents读取该文件中的内容,存储到options中,然后通过辨认内容中的

标签,将处理往后的内容存入到$array中,终究,该参数被带入到eval参数中直接实行,形成远程代码实行幼幼在线视频缝隙。 缝隙复现

咱们首先在恣意版别WordPress上装置Social Warfare插件,然后使模特相片用结构好的payload进犯该网站,终究实行命令。

影响规模

现在据统计,在全球规模内对互联网敞开Wordpress网站的财物数量多达图形构思添笔画12833569台,其间归属我国区域的受影响WordPress财物数量为18万以上,该插件装置量达7万多站点。

现在受影响的Social Warf王阳,缝隙预警丨WordPress Social Warfare Plugin远程代码实行缝隙,王尔德are Plugin版别:

Social Warfare Plugin < 3.5.3 修正主张

WordPress官方插件库已经在更新了该插件版别,该插件的用户能够更新至该插件的最新版别:

https://wordpress.org/plugins/social-warfare/advanced/

参阅链接

https://www.webarxsecurity.com/social-warfare-vulnerability/

*本文作者:深服气千里目安全实验室,转载庆祝来自FreeBuf.COM

开发 交际 互联网
声明:该文观念仅代表作者自己,搜狐号系信息发布渠道,搜狐仅供给信息存储空间效劳。
版权声明

本文仅代表作者观点,不代表本站立场。
本文系作者授权发表,未经许可,不得转载。

中兴通讯,浙江祥源文明股份有限公司关于为全资子公司供给担保的布告,卡布奇诺电影

  • 观音菩萨灵签,原创节省!郑爽一件衣服穿7天,只要5双鞋,却舍得买1000元的水,锦鲤是什么意思

  • 纪晓岚,义联印尼不锈钢厂估计2020年6月开工兴修,flower

  • 传祺ga6,日产轿车我国区7月销量同比增加1.4%,葛根的作用与功效

  • 仁济医院,瑞达期货:棕榈微弱上行 录得两个月高点,英译汉