(CVE-2019-17671)Wordpress未授权访问

一、漏洞简介

wordpress 爆出最新的查看未经身份验证的文章漏洞, 该漏洞源于程序没有正确处理静态查询, 攻击者可利用该漏洞未经认证查看部分内容

二、漏洞影响

WordPress \<= 5.2.3

三、复现过程

Wordpress<=5.2.3未授权访问/media/rId24.png)

登陆后台新建私密页面

Wordpress<=5.2.3未授权访问/media/rId26.png)

随便填入内容,选择私密,发布

Wordpress<=5.2.3未授权访问/media/rId28.png)

访问前台页面,退出登陆,模拟外部访问

Wordpress<=5.2.3未授权访问/media/rId30.png)

漏洞利用

直接访问,查看不了私密文章

Wordpress<=5.2.3未授权访问/media/rId32.png)

输入payload访问,即可未授权访问所有文章

url+/?static=1&order=asc

image

Qingy文库 all right reserved,powered by GitbookFile Modify: 2021-07-15 20:10:46

results matching ""

    No results matching ""