2012年7月31日 星期二

弱點通告:WordPress 存在上傳任意檔案的弱點,請使用者儘速更新!


弱點通告:WordPress 存在上傳任意檔案的弱點,請使用者儘速更新!


風險等級
高度威脅
摘  要
WordPress 存在上傳任意檔案的弱點,惡意人士可透過利用WordPress 漏洞等讓使用者系統受駭之安全性弱點進行攻擊,成功後便可執行任意程式碼、及規避部份安全限制。
目前已知會受到影響的版本為WordPress Nmedia Users File Uploader Plugin 1.X 之前的版本,中華電信SOC 建議使用者應儘速上網更新,以降低受駭風險。
影響系統
WordPress Nmedia Users File Uploader Plugin 1.X()之前的版本
解決辦法
細節描述
WordPress 近日針對 Nmedia Users File Uploader Plugin 發佈弱點通告,該弱點起因於當資料夾被設定為有效的使用者的名稱,wp-content/plugins/nmedia-user-file-uploader/doupload-Nmedia-user-file-uploader/doupload.php 允許上傳任意文件到Web 的根目錄內。可能被利用來上傳惡意的PHP 腳本,進而執行任意PHP程式碼。 惡意人士可透過利用WordPress漏洞等讓使用者系統受駭之安全性弱點進行攻擊,成功後便可執行任意程式碼、及規避部份安全限制。中華電信SOC 在此建議使用者應儘速上網下載更新,以降低受駭風險。
參考資訊