- 动态与公告
- 产品动态
- 产品公告
- 安全公告
- Apache log4j2 远程代码执行漏洞风险公告(CVE-2021-44832)
- Apache Log4j 2 远程代码执行漏洞风险公告(CVE-2021-45046)
- Apache Log4j 2 远程代码执行漏洞风险公告(CVE-2021-44228)
- Weblogic Console HTTP 协议远程代码执行漏洞公告
- Exchange Server 命令执行漏洞的安全防护公告
- 用友 GRP-U8 行政事业内控管理软件存在 SQL 注入漏洞公告
- CVE-2020-11991 Apache Cocoon XML 外部实体注入漏洞公告
- WordPress File Manager 存在任意代码执行漏洞公告
- Jenkins 发布9月安全更新公告
- Apache Struts2 远程代码执行漏洞公告(CVE-2019-0230、CVE-2019-0233)
- Apache SkyWalking SQL 注入漏洞安全风险公告(CVE-2020-13921)
- 新手指引
- 产品简介
- 购买指南
- 快速入门
- 操作指南
- 最佳实践
- 常见问题
- 服务等级协议
- WAF 策略
- 联系我们
- 词汇表
- 动态与公告
- 产品动态
- 产品公告
- 安全公告
- Apache log4j2 远程代码执行漏洞风险公告(CVE-2021-44832)
- Apache Log4j 2 远程代码执行漏洞风险公告(CVE-2021-45046)
- Apache Log4j 2 远程代码执行漏洞风险公告(CVE-2021-44228)
- Weblogic Console HTTP 协议远程代码执行漏洞公告
- Exchange Server 命令执行漏洞的安全防护公告
- 用友 GRP-U8 行政事业内控管理软件存在 SQL 注入漏洞公告
- CVE-2020-11991 Apache Cocoon XML 外部实体注入漏洞公告
- WordPress File Manager 存在任意代码执行漏洞公告
- Jenkins 发布9月安全更新公告
- Apache Struts2 远程代码执行漏洞公告(CVE-2019-0230、CVE-2019-0233)
- Apache SkyWalking SQL 注入漏洞安全风险公告(CVE-2020-13921)
- 新手指引
- 产品简介
- 购买指南
- 快速入门
- 操作指南
- 最佳实践
- 常见问题
- 服务等级协议
- WAF 策略
- 联系我们
- 词汇表
2020年9月6日,腾讯安全团队检测到 WordPress 插件 File Manager 存在任意代码执行漏洞,攻击者利用该漏洞可以在含有 File Manager 的 WordPress 网站中上传木马、执行任意命令和恶意脚本。
腾讯安全已捕获在野利用(现网利用),目前腾讯云 Web 应用防火墙已支持防御。
漏洞详情
腾讯安全团队检测到 WordPress 插件 File Manager 被曝存在任意代码执行漏洞,攻击者利用该漏洞可以在含有 File Manager 的 WordPress 网站中上传木马、执行任意命令和恶意脚本。在 wordpress.org 的插件库中, File Manager 在2020年9月1日之前提供的 v6.8 版本为受影响版本,可以被攻击者用于破坏网站。
默认情况下,无需认证可以直接打开文件 lib/php/*.php ,并且该文件加载 lib/php/*.php,该文件读取 POST/GET 变量,并允许执行一些内部功能,例如上传文件等,由于允许使用 PHP 代码,因此会导致未经身份验证的任意文件上传和远程代码执行。
影响版本
WordPress File Manager < 6.9
修复建议
官方发布升级插件修复该漏洞,腾讯安全建议您:
更新 WordPress File Manager 版本至6.9及以上。
推荐采取腾讯云 Web 应用防火墙检测并拦截此次攻击。
是
否
本页内容是否解决了您的问题?