WordPress 快取外掛可遠端執行 PHP 程式碼

pythontab發表於2013-04-25

WordPress 最受歡迎的快取外掛 WP Super Cache 和 W3 Total Cache 有大約 6 百萬的下載,現在被發現這兩個外掛同存在了安全漏洞,該漏洞允許遠端使用者在伺服器上執行任意的 PHP 程式碼。快取外掛的目的是透過將頁面儲存在記憶體中來提升網站訪問的效能。目前 WP Super Cache 1.2 及以下版本和 W3 Total Cache 的 0.9.2.8 及以下版本都存在該漏洞,建議使用者立即升級到 WP Super Cache (1.3.1) and W3 Total Cache (0.9.2.9)


該問題在一個月前就已經在 WordPress 的論壇上報告,這裡有一篇部落格解釋該漏洞的詳情。攻擊者可以在評論中編寫 PHP 程式碼並提交,首個重新整理的頁面將執行程式碼片段解析並執行頁面上的 PHP 程式碼。透過禁用動態程式碼片段可以阻止此問題,但更簡單的方法是升級外掛。


相關文章