提供丰富的网站建站技术
及域名注册/SSL证书服务

WordPress发布通知对SQL注入漏洞进行紧急修复

WordPress已宣布4.8.3版本的安全发布,通过SQL注入攻击对网站接管的漏洞进行修复。

万圣节惊魂(CVE-2017-14723)于9月份被研究人员Anthony Ferrara发现并报告给了Bug报告奖励计划。

WordPress发布通知对SQL注入漏洞进行紧急修复

WordPress发布通知对SQL注入漏洞进行紧急修复

根据新的发布公告,虽然WordPress的核心没有受到影响,但是新的版本进一步得到了强化,通过插件和主题对其施加保护以免受攻击。在4.8.2及更早版本中,“$ wpdb-》 prepare()可以创建出人意料和不安全的查询,” 允许潜在的SQL注入。然而新版本改变了esc_sql()函数的行为,WordPress称这对大多数开发者并不会产生影响。

该漏洞可追溯到4.8.1版本,但是Ferrara 表示,WordPress发布了4.8.2版本进行了修复,但也只是处理了“潜在漏洞的一小部分。” Ferrara说,4.8.2版本不仅没有真正解决问题,还感染了很多网站,并且使得超过一百多万行的第三方代码都变得无效。他在4.8.2发布后的第二天报告了这个bug,但是WordPress却压下了他的报告,理由是“非文档化功能没有记录下来。”

在Ferrara于10月16日威胁称将于19日公开报告该漏洞之前,有些消息若隐若现。WordPress劝服 Ferrara推迟漏洞的公布日期,之后他于10月20日再次威胁要在25日再次公布问题。Ferrara在披露过程的报告中写道,WP安全团队告诉他说:“我们在这里所进行的斗争,通常有关安全,是为了了解如何在尽可能减少破坏的情况下确保安全。”

27日当天,WordPress团队的另一位成员参与了进来,这次Ferrara终于得到了满意的答复。他在报告中承认,虽然志愿者面临着巨大的挑战,但最终还是使问题得以迎刃而解。

他写道:“恕我直言,其实让我失望的并不是WordPress团队,而是他们没有在25%+ 互联网平台(或者CMS互联网)安排全职的安全工作人员。虽然志愿者非常了不起,但他们能做的也非常有限。在某种程度上,一些企业归根结底还是为了谋取利益,而配置人员却成为了最大的问题。。。。。。”

对于WordPress而言,它应该对Ferrara负责任的披露深表感谢。

推荐阅读:>>>SEO必备的10大WordPress插件

以上内容是由自助建站资讯网提供,如需转载,请注明出处:https://www.idcdiy.comm/

未经允许不得转载:自助建站资讯网 » WordPress发布通知对SQL注入漏洞进行紧急修复
分享到: 更多 (0)

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

为您提供权威 丰富的网站服务器资讯