WordPress4.8.1版本存在XSS跨站攻击漏洞
2017年10月19日,阿里云安全威胁情报系统监测到WordPress 官方发布了一条安全通告表示在4.8.1版本中发现了一个存储型的XSS漏洞,通过该漏洞,攻击者可以在受影响网站的评论区写下包含恶意代码的留言,当该留言页面被打开时,其中的恶意代码会执行,导致该网站的权限,插件等被更改,甚至被完全控制,安全风险为高危。阿里云安全建议站长们关注,并尽快开展自查工作,及时更新WordPress。具体详情如下: 漏洞编号:暂无漏洞名称:WordPress储存型XSS漏洞官方评级:高危漏洞描述:该漏洞影响WordPress4.8.1版本,攻击者可以未授权通过WordPress的评论注入JavaScript攻击代码。评论被查看的时候,JavaScript就触发了。如果管理员登陆查看评论触发后,可能导致攻击者进入后台通过主题或插件编辑从而命令执行控制整个服务器,安全风险为高危漏洞利用条件和方式:远程利用PoC状态:目前PoC已经公开漏洞影响范围:受影响的版本 WordPress 4.8.1不受影响的版本 WordPress 4.8.2漏洞检测:开发或运维人员排查是否使用了受影响版本范围内的Word...
