WordPress緩存插件可遠程執行PHP代碼
作者:佚名
WordPress 最受歡迎的緩存插件 WP Super Cache 和 W3 Total Cache 有大約 6 百萬的下載,現在被發現這兩個插件同存在了安全漏洞,該漏洞允許遠程用戶在服務器上執行任意的 PHP代碼。
WordPress 最受歡迎的緩存插件 WP Super Cache 和 W3 Total Cache 有大約 6 百萬的下載,現在被發現這兩個插件同存在了安全漏洞,該漏洞允許遠程用戶在服務器上執行任意的 PHP代碼。
緩存插件的目的是通過將頁面保存在內存中來提升網站訪問的性能。目前 WP Super Cache 1.2 及以下版本和 W3 Total Cache 的0.9.2.8及以下版本都存在該漏洞,建議用戶立即升級到 WP Super Cache (1.3.1) and W3 Total Cache(0.9.2.9)
該問題在一個月前就已經在 WordPress 的論壇上報告,這里有一篇博客解釋該漏洞的詳情。攻擊者可以在評論中編寫 PHP代碼并提交,首個刷新的頁面將執行代碼片段解析并執行頁面上的 PHP代碼。通過禁用動態代碼片段可以阻止此問題,但更簡單的方法是升級插件。[譯oschina via h-online]
責任編輯:藍雨淚
來源:
FreebuF
