第67期

　　北京网络与信息安全信息通报中心   2018年6月26日

　　关于 WordPress存在注入漏洞的预警通报

　　近日，我中心技术支持单位盛邦安全在监测过程中发现， WordPress Google Map plugin低于4.0.4的版本中SQL注入漏洞，并且大量用户受到该类漏洞的影响。针对此情况， 我中心围绕漏洞基本情况、影响范围等方面开展了分析，并提出了工作建议。具体情况如下

　　一、漏洞基本情况

　　WordPress是目前互联网上应用较为广泛的开源免费建站模板。该平合使用PHP语言开发，任何用户均可在支持PHP和 MYSQL数据库的服务器上搭建自己的网站。

　　研究人员发现，在 WordPress Google Map plugin低于4.0.4的版本中，因程序自身过滤不严，导致多参数存在SQL入问题。攻击者通过在应用程序中预先定义好的查询语句结尾加上额外的SQL语句元素，可实现欺骗数据库服务器执行非授权的SQL命令等操作。该漏洞可导致网页被篡改数据被泄露、服务器被非法控制等严重后果。漏洞等级为高危。

　　二、影响范围

　　WordPress Google Map plugin低于4.0.4的版本。

　　三、网络安全工作提示

　　针对该漏洞情况，请所有通报成员单位立即开展以下几方面工作：一是及时升级存在问题的插件，在网页代码中需要对用户输入的数据进行严格过滤；二是开展网络安全自查工作，强调部署Web应用防火墙，并对数据库操作进行监控；是请各单位接通报后立即开展工作，如有突出情况及时向我中心上报。（联系人:宋扬，联系电话:53121239)

　　校内联系人：

　　北京校部：张晓华   联系电话：010-61772580

　　保定校区：郑海涛   联系电话：0312-7522921

　　

　　网络与信息化办公室

　　2018年6月28日