資料來源:台灣電腦網路危機處理暨協調中心
https://www.twcert.org.tw/tw/cp-104-5492-d6aea-1.html
WordPress 開發團隊近日推出最新的 WordPress 5.8.3 版本,一共修復四個漏洞,其中有三個的危險評分較高,請用戶立即更新至最新版本。
得到更新的四個 WordPress 資安漏洞如下:
- CVE-2022-21661:本漏洞屬於 SQL 指令注入漏洞,駭侵者可透過惡意外掛程式或佈景主題,利用 WP-Query 來注入惡意指令;本漏洞的 CVSS 危險程度評分高達 8 分(滿分為 10 分)。
- CVE-2022-21662:本漏洞屬於 XSS 跨站指令碼漏洞,低權限的用戶(如文章作者)可以在文章網址代稱(post slug) 欄位中植入惡意後門程式碼,取得網站控制權;本漏洞的 CVSS 危險程度評分高達 8 分。
- CVE-2022-21664:本漏洞屬於 SQL 指令注入漏洞,駭侵者可透過 WP_Meta_Query 核心類別來注入惡意程式碼;本漏洞的 CVSS 危險程度評分高達 7.4 分。
- CVE-2022-21663:本漏洞屬於物件注入漏洞,駭侵者必須先取得管理者帳號權限,才能利用此漏洞發動攻擊,因此本漏洞的 CVSS 危險程度評分較低,為 6.6 分。
除了 CVE-2022-21664 的漏洞,自 WordPress 4.1.34 開始就存在外,其餘的漏洞都從 WordPress 3.7.37 就已存在。資安專家表示,目前尚未接獲有任何攻擊行動係利用此次更新的四個漏洞來進行的情資。
WordPress 的開發公司 Automattic 指出,自 2013 年推出的 WordPress 3.7 版起,均包含自動更新程式;建議所有用戶立即更新至最新版 WordPress 5.8.3,同時不要停用自動更新功能。
- CVE編號:CVE-2022-21661 等
- 影響產品(版本):WordPress 3.7.37 (CVE-2022-21661、21662、21663)、4.1.34 (CVE-2022-21664) 至 5.8.2 之間所有版本
- 解決方案:更新至 WordPress 5.8.3 及其後版本