WordPress中出现SQL注入漏洞 用户须立即升级至最新版本

翻译：360代码卫士团队

WordPress表示，WordPress的核心安装并未受到直接影响；这个漏洞存在于核心向插件和主题提供的一个安全函数中。换句话说，核心中存在一个bug，能导致插件和主题易遭攻击，从而导致整个站点被恶意控制。

WordPress发布安全公告指出，“WordPress版本4.8.2及以前版本均受影响。$wpdb->prepare()能制造未预料到且不安全的请求，从而引发潜在的SQL注入 (SQLi) 问题。WordPress核心并不直接受影响，不过我们还是增强防御措施，阻止插件和主题偶然引发漏洞问题。”

Lingo Live公司的员工AnthonyFerrara发现了这个漏洞，他指出，WordPress4.8.2于上个月发布，目的是加固$wpdb->prepare() 代码，但更新存在问题，而且并未完全解决底层漏洞问题。另外，更新还导致“无数第三方代码和站点崩溃，大约120万行代码受影响。”

Ferrara立即通知WordPress团队称4.8.2补丁并不充分而且容易导致软件附件崩溃；但Ferrara指出，最初后者并未重视，而只是在Ferrara提供了PoC利用代码并威胁会公之于众后，才发布了一个不会导致崩溃的更好的修复方案即版本4.8.3。

对于WordPress核心并未直接受影响的说法，Ferrara并不同意。他发布技术详情指出，这个核心中包含有问题的代码。他指出与WordPress共享的PoC利用代码就是针对核心的。和心中存在两个可被利用的查询，不过它们需要获取编辑权限。

本文作者认为，WordpPress核心SQL字符串逃逸代码是存在缺陷的，但尽可由访客经由插件和工具访问。Ferrara认为已登录编辑也可访问这个易受攻击的功能。

不管怎样，受影响用户要尽快打补丁后再继续前进。

数千台被黑路由器攻击WordPress站点

WordPress仍是迄今为止受攻击最多的CMS

本文由360代码卫士编译，不代表360观点，转载请注明 “转自360代码卫士www.codesafe.cn”。

原文链接：

https://www.theregister.co.uk/2017/10/31/wordpress_security_fix_4_8_3/