百度资源平台在2018年2月6日发布了一篇关于WordPress高危拒绝服务漏洞的内容,今天小凯seo博客把这篇内容转载过来和朋友们分享一下。CVE-2018-6389漏洞是一个应用程序级别的DoS问题,影响到WordPress CMS,即使没有大量的恶意流量,也可以被攻击者利用。几乎任何WordPress网站,包括最新版本(版本4.9.2)都可以很容易地导致拒绝服务。
该缺陷影响到“ load-scripts.php ”WordPress脚本,它接收一个名为load []的参数,其值为“jquery-ui-core”。在响应中,CMS提供了请求的JS模块“jQuery UI Core”。
load-scripts.php文件是为WordPress管理员设计的,允许将多个JavaScript文件加载到一个请求中,但研究人员注意到可以在登录之前调用该函数来允许任何人调用它。
WordPress CMS提供的响应取决于安装的插件和模块。可以通过简单地将模块和插件名称(用逗号分隔)通过“load”参数传递到load-scripts.php文件来加载它们。
如果向服务器发送一个请求,返回存储的每个JS模块。单个请求会导致服务器执行181个I/O操作,并在响应中提供文件内容。具有良好带宽或有限机器人的攻击者可以触发CVE-2018-6389漏洞攻击WordPress网站。
影响版本:全部WordPress版本,包括最新的4.9.2
漏洞等级:高危
修复建议
1、使用百度云加速WAF防火墙进行防御。
2、添加网站至安全指数,及时了解网站组件突发/0day漏洞。
了解更多
http://securityaffairs.co/wordpress/68709/hacking/cve-2018-6389-wordpress-dos-flaw.html