跳至主內容

WordPress 多個漏洞

最後更新 2014年08月08日 12:13 發佈日期: 2014年08月08日 1286 觀看次數

風險: 中度風險

類型: 伺服器 - 網站伺服器

類型: 網站伺服器

在 WordPress 發現多個漏洞,惡意使用者可利用漏洞洩露部分敏感資料,或導致阻斷服務及控制受影響的系統。

1) 擴展項目參照時於 xmlrpc.php 指令碼內出現錯誤,可透過特製的含有惡意屬性的 XML 資料耗盡記憶體及中央處理器的資源。

2) wp-includes/class-wp-customize-widgets.php 指令碼使用 "unserialize()" 功能,並包含用戶控制的輸入資訊。此漏洞可透過特製的序列化物件導致如執行任意 PHP 程式碼的問題。

3) 該應用程序附載了受影響版本的 getID3()。


影響

  • 阻斷服務
  • 遠端執行程式碼
  • 資料洩露

受影響之系統或技術

  •  WordPress 3.x

 


解決方案

在安裝軟體之前,請先瀏覽軟體供應商之網站,以獲得更多詳細資料。

  • 更新至版本 3.9.2

漏洞識別碼


資料來源


相關連結