CVE-2017-14723漏洞發生在WordPress 4.8.2及更低版本中,因為
$wpdb->prepare()
創建可能導致SQL攻擊的「意外且不安全的查詢」 。
造成此漏洞的原因是什麼?
根據WordPress命令,WordPress內核不會立即處於危險之中,但是新版本將增加額外的保護,以防插件或主題意外引發此漏洞。
Anthony Ferrara於9月20日在HackerOne平台上報告了此問題。WordPress的開發人員已經嘗試修復4.8.2版中的此錯誤,但未提供內核安全性。該更新影響了許多網站的功能,可能危害超過120萬行代碼。
發布後的第二天,費拉拉(Ferrara)報告了一個錯誤,但他的要求被忽略了好幾個星期。僅在費拉拉(Ferrara)通知WordPress團隊他要公開披露問題後,五周後,他們才能夠商定公開聲明的時間。
WordPress與Ferrara合作發布了一個修復程序,使該問題更容易解決。但是,根據同一位Ferrara的說法,這不足以解決由先前的補丁程序引起的問題。
該問題的可能解決方案
費拉拉指出:
當前的修補程序完全刪除了準備機制,該機制返回一個SQL查詢字元串。執行其他所有人的操作:返回表達式或查詢對象,或直接執行查詢。這樣,您將無法複製字元串。
應當指出,該解決方案將對WP進行重大更改。
無需一次更改所有內容–您可以與現有API並行開發替代解決方案。這將是有問題的,但有必要。
現有的API不安全。這並不意味著它一直在受到攻擊,而是需要緊急進行重新加工。
「危險減少了,」費拉拉補充道。–起初,合作的前景並不令人鼓舞,但多年來卻有所改善。如果最近6周讓我感到失望,現在我希望最好。