近日，國(guó)家信息安全漏洞共享平臺(tái)（CNVD）收錄了WordPress WPDB SQL注入漏洞（CNVD-2017-32143）。遠(yuǎn)程攻擊者利用該漏洞可造成SQL注入攻擊，獲取數(shù)據(jù)庫(kù)敏感信息。漏洞的詳細(xì)細(xì)節(jié)已公開(kāi)，近期被不法分子利用進(jìn)行出現(xiàn)大規(guī)模攻擊嘗試的可能性較大。

        一、漏洞情況分析

        WordPress是使用PHP語(yǔ)言和MySQL數(shù)據(jù)庫(kù)開(kāi)發(fā)的，世界上使用最廣泛的博客系統(tǒng)，并逐步演化成一款內(nèi)容管理軟件。

        2017年10月31日，WordPress官方發(fā)布了WordPress安全更新并修復(fù)了一處SQL注入漏洞，即$wpdb-prepare()函數(shù)可以創(chuàng)建無(wú)法預(yù)測(cè)且不安全的查詢(xún)，從而導(dǎo)致潛在的SQL注入(SQLi)，但WordPress核心并不容易直接受到該漏洞的影響。CNVD對(duì)上述漏洞的綜合評(píng)級(jí)為“高?！?。

        二、漏洞影響范圍

        漏洞影響WordPress 4.8.2及之前版本。

        三、漏洞修復(fù)建議

        支持自動(dòng)更新的用戶(hù)可以通過(guò)點(diǎn)擊后臺(tái)的儀表盤(pán)更新到4.8.3版本，也可手動(dòng)下載更新：https://wordpress.org/download/

        附：參考鏈接：

        https://wordpress.org/news/2017/10/wordpress-4-8-3-security-release/

        https://blog.ircmaxell.com/2017/10/disclosure-wordpress-wpdb-sql-injection-technical.html

        http://www.cnvd.org.cn/flaw/show/CNVD-2017-32143