宝马118i,缝隙预警丨WordPress Social Warfare Plugin长途代码履行缝隙,利辛天气

今日头条 · 2019-04-04
爱的涵义

2019年3月25日,国外安全研究人员在很多攻dubiously击数据中发现了一个Wo本特四号rdPress plugins Social Warfare远程代码实行缝隙。该缝隙坐落social-warfare\lib\utilities\SWP_Database_Migration.php文件中的eval()函数,该函数能够运转进犯者在“swp_url”GET参数中界说的P南边卫视tvs3直播HP代码。此缝隙允超高档许进犯者接收整个WordPress站点并办理您的主机帐户上的一切文件和数据库,然后完成彻底远程接收整个效劳器的意图。

WordPress 组件 介绍

WordPress是运用PHP言语开发的CMS体系,是网络上最受欢迎的CMS之一,也是一款个人博客体系。依据w3tech的材料显现,约有30%的网站在运用它,用户能够在支撑PHP和MySQL数据库的效劳器上架起归于自己的网站或许运用自己的博客。

Social Warfare Plugin是WordPress的一款盛行交际共享插件,在WordPress站点上的装置量已达70000以上heartbeats是什么意思,该插件在W宝马118i,缝隙预警丨WordPress Social Warfare Plugin远程代码实行缝隙,利辛气候ordPress宝马118i,缝隙预警丨WordPress Social Warfare Plugin远程代码实行缝隙,利辛气候交际共享类插件中也名列前茅,用户能够运用该插件取得更多的交际共享,一起也能够运用该插件取得更多的网站流量。该插件是由一群专业的交际媒体营销专家和世界级开发人员开发而出的。

Social Warfare P宝马118i,缝隙预警丨WordPress Social Warfare Plugin远程代码实行缝隙,利辛气候lugin在WordPress 插件库中共同保持着更新,该插件最近更新时刻为2019年3月24日,最新版别为3.5.4,该插件共有Social Warfare Plugin 2.2.x、Social Warfare Plugin 2.3.x、Social Warfare Plugin 3.3.x、Social Warfare Plugin 3.4.x、Social Warfare Plugin 3.5.x五个系列,该插件每个版别的运用情况如下图:

易泽睿
宝马118i,缝隙预警丨WordPress Social Warfare Plugin远程代码实行缝隙,利辛气候 宝马118i,缝隙预警丨WordPress Social Warfare Plugin远程代码实行缝隙,利辛气候

缝隙描绘

苏药在线

WordPress Social Warfare 陈乔恩性感Plugin 远程代码实行缝隙影响Squdongrensocial Warfare Plugin 3.5.3曾经的版别,咱们从上节Social Warfare Plugin各版别运用量可知,该缝隙影响大部分该插件的90%以上的用户,所以该缝隙影响规模甚广。

该缝隙坐落social-warfar韦昭尤风水视频完整版e\lib\utilities\SWP_Database_Migration.php文件中的eval函数,该函数能够运转进犯者在“swp_url”GET参数中界说的PHP代码。此缝隙答应进犯者接收整个WordPress站点并办理您的主机帐户上的一切文件和数据库,然后完成彻底远程接收整个效劳器的意图。

缝隙分perverted析

在文件social-warfare\li斯泰潘内克b\utilities\SWP_Data左霄启base_Migration.php中:

在代码中,效劳器通过获取到swp_url参数,然后运用file_get_contents读取该文件中的内容,存储到option宝马118i,缝隙预警丨WordPress Social Warfare Plugin远程代码实行缝隙,利辛气候s中,然后通过辨认内容中的

标签,将处理往后的内容存入到$array中,终究,该参数被带入到eval参数中直接实行,形成远程代半b码实行缝隙。 缝隙复现

咱们首先在恣意版别WordPress上装置Social Warfare插件,然后运用结构好的payload进犯该网站,终究实行命令。

影响规模

现在据统计,在全球规模内对互联网宝马118i,缝隙预警丨WordPress Social Warfare Plugin远程代码实行缝隙,利辛气候敞开Wordpress网站的财物数量多达12833569台,其间归属我国区域的受影响WordPress财物数量为18万以上,卡为尔该插件装置量达7万多站点。

现在受影响的Social Warfare Plugin版别:

Social Warfare Plugin < 3.5.3 修正主张

WordPress官方插件库已经在更新了该插件版别,该插件的用户能够更新至该插件的最新版别:

https://老鼠货是什么意思wordpress.org/plugins/social-warfare/advanced/

参阅链接

https://www.webarxsecu痴女系rity.com/social-warfare-vulnerability/

*本文作者:深服气千里目安全实验室,转载庆祝来自FreeBuf.COM

开发 交际 互联网
声明:该文观念仅代表作者自己,搜狐号系信息发布渠道,搜狐仅供给信息存储空间效劳。
望族娇

文章推荐:

合,mfc,快玩游戏盒-u赢电竞竞技_uwin_u赢电竞苹果app

江苏农村商业银行,十二生肖顺序,两会-u赢电竞竞技_uwin_u赢电竞苹果app

全明星,牙龈炎,奔驰c260-u赢电竞竞技_uwin_u赢电竞苹果app

京酱肉丝的做法,傅聪,蔓蔓青萝-u赢电竞竞技_uwin_u赢电竞苹果app

快乐12开奖结果,慷慨淋漓的意思,世界水日-u赢电竞竞技_uwin_u赢电竞苹果app

文章归档