关于锐讯

成立于2004年,十多年经验积累,专注为客户提供优质的网络环境、接入带宽及高稳定性的网络服务

【漏洞公告】WordPress 任意文件删除漏洞
时间:2018.10.12   作者:锐讯网络   阅读:109

国外安全研究组织发布了一篇关于WordPress任意文件删除漏洞的预警文章,恶意攻击者可以利用该漏洞删除WordPress建站配置文件wp-config.php,从而导致界面进入网站安装页面。漏洞原因为WordPress程序 unlink() 函数在处理的用户输入传递给文件删除功能时,未进行适当判断处理,导致任意文件删除。

 

受影响范围:
WordPress <= 4.9.6

 

解决方案:
目前厂商还没有提供相关补丁,建议使用此软件的用户关注厂商的下载页以获取最新版本:
https://wordpress.org/download/

 

临时止血方案:
漏洞研究者提供了临时止血方案,可以在当前活动的主题/子主题的 functions.php 文件中添加如下内容:

 

add_filter( 'wp_update_attachment_metadata', 'rips_unlink_tempfix' );

function rips_unlink_tempfix( $data ) {
    if( isset($data['thumb']) ) {
        $data['thumb'] = basename($data['thumb']);
    }

    return $data;
}

  安全漏洞,WordPress

售前在线咨询

以下为10位资深销售主管官方企业Q,更多销售员Q请咨询销售主管

售后服务

或与官方提供的专属QQ一对一直接服务

工作时间: 周一至周五 9:30至17:30 周六13:30至17:30,其它日期按国家法定节假日休假,如果有不便之请敬请谅解! 售后技术支持:多部门7*24小时机制

客户投诉留言

电话和QQ,以便我们为您提供优质服务! *为必填项