研究人员提供了最新安全版本中修复的错误的技术细节

WordPress XXE注入漏洞可以使攻击者远程窃取主机文件

一个XML外部实体(xxe)注射错误WordPress研究人员透露,攻击者可以远程窃取受害者的档案。

Sonarsource的安全研究人员发现了已发布的漏洞博客文章今天(4月27日)提供了有关现在对错误的错误的技术详细信息。


阅读更多最新的WordPress漏洞新闻


一个XXE漏洞允许攻击者干预应用程序对XML数据的处理。这可以使他们能够在应用程序服务器文件系统上查看文件,并与应用程序本身可以访问的任何后端或外部系统进行交互。

在这种情况下,XXE错误在WordPress版本5.7及以下中存在,并且可以允许远程任意文件披露和服务器端请求伪造((SSRF)。

限制

博客文章警告说,此问题仅存在于在PHP 8上运行受影响的WordPress安装的系统中。

此外,需要上传媒体文件的权限。” Sonarsource研究人员在博客文章中解释说。


阅读更多WordPress 5.7提供“一键” http到HTTPS网站升级功能


“在标准的WordPress安装上,这意味着具有作者特权。但是,结合另一个漏洞或允许访问者上传媒体文件的插件,可以通过较低的特权来利用它。”

研究人员向WordPress安全团队披露了代码漏洞,后者在最新版本(5.7.1)并分配了CVE-2021-29447。

使固定

WordPress是世界上最受欢迎的内容管理软件,占使用所有网站的40%的权力,使其成为恶意演员的明确目标。beplay体育能用吗

幸运的是,由于开源CMS框架的维护者正在进行的安全工作,许多运行WordPress的网站现在将自动更新

beplay体育能用吗没有此功能的Web管理员可以通过其WordPress管理仪表板进行更新。


你也许也喜欢WordPress安全缺陷:运行NextGen Gallery插件的800,000个站点可能容易受到PWNage的影响