CVE-2019-17671:wrodpress 未授权访问漏洞-复现

华盟原创文章投稿奖励计划

CVE-2019-17671:wrodpress 未授权访问漏洞-复现

WordPress简介

WordPress是一款个人博客系统,并逐步演化成一款内容管理系统软件,它是使用PHP语言和MySQL数据库开发的,用户可以在支持 PHP 和 MySQL数据库的服务器上使用自己的博客。

漏洞概述

漏洞源于程序没有正确处理静态查询。攻击者可利用该漏洞未经认证查看部分内容。

影响版本

WordPress <= 5.2.3

所需环境

phpstudy(php-7.2.10-nts Apache)

WordPress 5.2.3

环境搭建

1、将下载下来的WordPress放到phpstudy

2、浏览器访问127.0.0.1/WordPress文件名,登录后提示没有数据库

3、127.0.0.1/phpmyadmin 创建名为wordpress(为了方便)的数据库

4、继续安装WordPress


复现过程

创建几个私密文章,当然创建一个也可以

            CVE-2019-17671:wrodpress 未授权访问漏洞-复现

创建几个公开文章,同上

            CVE-2019-17671:wrodpress 未授权访问漏洞-复现

正常访问,127.0.0.1/WordPress文件名

                CVE-2019-17671:wrodpress 未授权访问漏洞-复现

加poc访问,127.0.0.1/WordPress文件名/?static=1&order=asc

              CVE-2019-17671:wrodpress 未授权访问漏洞-复现

修复方案

华盟知识星球入口

更新至最新版本

本文原创,作者:张,其版权均为华盟网所有。如需转载,请注明出处:https://www.77169.net/html/252417.html

发表评论