WordPress5.7.2版本包含一个严重漏洞的修复程序
WordPress用户应尽快更新到5.7.2版,因为世界上最流行的CMS的最新版本包括一个解决重要漏洞的安全补丁。漏洞跟踪为CVE-2020-36326,影响WordPress 3.7至5.7版本,并且其严重等级为9.8,因为它可能使攻击者可以对未打补丁的网站进行各种恶意攻击。
虽然现在可以手动下载包含补丁的更新,但是启用了自动下载的WordPress网站将无需任何其他操作即可接收到该补丁。
站点所有者仍应检查自己是否正在运行最新版本,如果不是,则应自行安装,以防止成为利用此漏洞的任何潜在攻击的受害者。
该漏洞本身是在WordPress的PHPMailer组件中发现的对象注入漏洞,默认情况下该对象用于发送电子邮件。
根据安全公司Wordfence的说法,所有对象注入漏洞都需要“ POP链”才能造成额外的损害。这意味着需要在WordPress站点上运行具有易受攻击的魔术方法的其他软件才能利用此漏洞,因此很难做到。
在新的博客文章中,Wordfence的Ram Gall解释了攻击者可能如何利用此漏洞,并说:
“尽管可以直接访问PHPMailer的任何人都可以注入一个PHP对象,从而保证了PHPMailer组件本身的严重等级,但是WordPress不允许用户这种直接访问。相反,所有访问都是通过核心和各种插件中公开的功能进行的。为了利用此漏洞,攻击者需要找到一种使用PHPMailer发送消息并向该消息添加附件的方法。此外,攻击者将需要找到一种方法来完全控制附件的路径。”
尽管对于攻击者来说,在野外充分利用此漏洞将非常困难,但如果站点所有者尚未将WordPress核心更新为最新版本,则仍应将其更新。