当前位置: 首页» 网络安全

转发:北京网络与信息安全信息通报中心关于 WordPress存在注入漏洞的预警通报

  网络与信息安全情况通报

  第67期

  北京网络与信息安全信息通报中心   2018年6月26日

  关于 WordPress存在注入漏洞的预警通报

  近日,我中心技术支持单位盛邦安全在监测过程中发现, WordPress Google Map plugin低于4.0.4的版本中SQL注入漏洞,并且大量用户受到该类漏洞的影响。针对此情况, 我中心围绕漏洞基本情况、影响范围等方面开展了分析,并提出了工作建议。具体情况如下

  一、漏洞基本情况

  WordPress是目前互联网上应用较为广泛的开源免费建站模板。该平合使用PHP语言开发,任何用户均可在支持PHP和 MYSQL数据库的服务器上搭建自己的网站。

  研究人员发现,在 WordPress Google Map plugin低于4.0.4的版本中,因程序自身过滤不严,导致多参数存在SQL入问题。攻击者通过在应用程序中预先定义好的查询语句结尾加上额外的SQL语句元素,可实现欺骗数据库服务器执行非授权的SQL命令等操作。该漏洞可导致网页被篡改数据被泄露、服务器被非法控制等严重后果。漏洞等级为高危。

  二、影响范围

  WordPress Google Map plugin低于4.0.4的版本。

  三、网络安全工作提示

  针对该漏洞情况,请所有通报成员单位立即开展以下几方面工作:一是及时升级存在问题的插件,在网页代码中需要对用户输入的数据进行严格过滤;二是开展网络安全自查工作,强调部署Web应用防火墙,并对数据库操作进行监控;是请各单位接通报后立即开展工作,如有突出情况及时向我中心上报。(联系人:宋扬,联系电话:53121239)

  校内联系人:

  北京校部:张晓华   联系电话:010-61772580

  保定校区:郑海涛   联系电话:0312-7522921

  

  网络与信息化办公室

  2018年6月28日