1. 威客安全首页
  2. 安全资讯

CVE-2019-17671:wrodpress 未授权访问漏洞-复现

CVE-2019-17671:wrodpress 未授权访问漏洞-复现

CVE-2019-17671:wrodpress 未授权访问漏洞-复现


WordPress简介


WordPress是一款个人博客系统,并逐步演化成一款内容管理系统软件,它是使用PHP语言和MySQL数据库开发的,用户可以在支持 PHP 和 MySQL数据库的服务器上使用自己的博客。


漏洞概述


该漏洞源于程序没有正确处理静态查询。攻击者可利用该漏洞未经认证查看部分内容。


影响版本


WordPress <= 5.2.3


所需环境


phpstudy(php-7.2.10-nts Apache)


WordPress 5.2.3


环境搭建


1、将下载下来的WordPress放到phpstudy


2、浏览器访问127.0.0.1/WordPress文件名,登录后提示没有数据库


3、127.0.0.1/phpmyadmin 创建名为wordpress(为了方便)的数据库


4、继续安装WordPress


复现过程


创建几个私密文章,当然创建一个也可以

            CVE-2019-17671:wrodpress 未授权访问漏洞-复现


创建几个公开文章,同上

            CVE-2019-17671:wrodpress 未授权访问漏洞-复现



正常访问,127.0.0.1/WordPress文件名

                CVE-2019-17671:wrodpress 未授权访问漏洞-复现


加poc访问,127.0.0.1/WordPress文件名/?static=1&order=asc

              CVE-2019-17671:wrodpress 未授权访问漏洞-复现


修复方案


更新至最新版本

CVE-2019-17671:wrodpress 未授权访问漏洞-复现


推荐文章++++

CVE-2019-17671:wrodpress 未授权访问漏洞-复现

*CVE-2017-9805简单利用

*SMB v1远程代码执行漏洞 (CVE-2020-1301)


CVE-2019-17671:wrodpress 未授权访问漏洞-复现

CVE-2019-17671:wrodpress 未授权访问漏洞-复现

原文始发于微信公众号(黑白之道):CVE-2019-17671:wrodpress 未授权访问漏洞-复现

本文转为转载文章,本文观点不代表威客安全立场。

发表评论

登录后才能评论