内容管理系统WordPress出现高危远程代码执行漏洞 请立即升级

信息安全 来源:蓝点网 2026-07-18 16:14:06 阅读:0

网络安全公司 Searchlight Cyber 在知名内容管理系统 WordPress 核心代码中发现无需身份验证的远程代码执行漏洞,该攻击不需要任何前置条件,任何未经授权的用户可以在默认系统配置中利用此漏洞执行任意代码,最终可以获得网站和数据库访问权限。

危害极高暂时不公布详情:

该漏洞已经通报给 WordPress 团队进行修复,而基于安全考虑安全研究员暂时不会公布任何与该漏洞有关的信息,不过安全公司倒是推出 wp2shell.com 检测工具,任何使用 WordPress 的网站都可以在这个检测工具里探测自己的网站是否受漏洞影响。

使用方法也非常简单,打开检测工具后输入基于 WordPress 构建的网站地址发起检测即可,该工具会利用 WP-JSON 探测网站是否生成对应的响应,如果命中则会提醒用户这个受检测的网站受影响,应当采取临时措施禁止匿名 WP-JSON 访问或升级新版本。

受影响的版本:
  • WordPress 6.9.0 ~ 6.9.4 版受影响

  • WordPress 7.0.0 ~ 7.0.1 版受影响

  • WordPress 6.8.5 及以下版本不受影响

  • WordPress 6.9.5 版已获得反向移植补丁

  • WordPress 6.8.6 版已获得反向移植补丁

  • WordPress 7.1 Beta 2 及更高版本已修复漏洞

临时修复方案和永久修复方案:
  • 永久修复方案:更新到 7.0.2 版,该版本已修复 REST API 批量路由混乱和 SQL 注入导致的远程代码执行

  • 临时修复方案:安装插件禁止 WP-JSON 匿名访问,但这可能会严重影响网站正常功能使用!

  • Cloudflare:如果使用 Cloudflare 托管网站则可以缓解攻击,Cloudflare 已部署 WAF 进行抵御

延伸阅读
  • MediaCMS一个现代的,功能齐全的开源视频和媒体CMS!

    MediaCMS是一款强大、现代的开源多媒体内容管理系统(CMS)。简单点说,它可以让你像搭积木一样打造一个自己的媒体视频网站!支持视频、音频、PDF、图片等多种格式,覆盖从视频上传、分类、播放到分享

  • Strapi 开源且高度可定制的CMS

    Strapi 是一个开源且高度可定制的 CMS。传统建网站,内容和页面样式绑得死死的,改起来很麻烦。Strapi 不一样!它只管存储和管理你的文字、图片、视频等内容本身,不限制你怎么把它们显示出来。你

  • Dedecms标签生成器的功能详解与高效使用技巧

    dedecms标签生成器通过解析标签将数据库数据动态嵌入网页,提升网站的动态性和灵活性。1)标签解析识别标签类型和参数;2)数据查询从数据库获取数据;3)数据填充生成html内容;4)缓存机制提高性能

赞助链接

Copyright © 2024 5xcloud.com All rights reserved.

蜀ICP备20006130号