发布编号：TACERT-ANA-2024010403010303

发布时间：2024-01-04 15:37:05

事故类型：ANA-漏洞预警

发现时间：2024-01-04 15:37:05

影响等级：中

 

[主旨说明:]

【漏洞预警】WordPress 近日发布更新以解决远端程式码执行 (RCE) 安全性弱点，建议请管理者尽速评估更新！

 

[内容说明:]

转发 中华资安国际 CHTSECURITY-200-202401-00000001

WordPress 备份迁移外挂程式 (Backup Migration) 其中的档案存在远端程式码执行弱点。远端攻击者可能借由该弱点控制传递一个范围的值，成功规避验证后，进而可在受影响系统或服务器执行任意程式码。

 

[影响平台:]

WordPress Backup Migration 1.3.7 (含)之前版本

 

[建议措施:]

请依照 WordPress 官网更新至建议最新版本：WordPress Backup Migration 1.3.8 (含)之后版本。

 

[参考资料:]

1.TWCERT/CC：WordPress 外挂程式含有严重 RCE 漏洞，下载次数超过 9 万次

2.Wordfence：https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-plugins/backup-backup/backup-migration-137-unauthenticated-remote-code-execution

3.BLEEPING COMPUTER： https://www.bleepingcomputer.com/news/security/50k-wordpress-sites-exposed-to-rce-attacks-by-critical-bug-in-backup-plugin/

---

(此通报仅在于告知相关资讯，并非为资安事件)，如果您对此通报的内容有疑问或有关于此事件的建议，欢迎与我们连络。

教育机构资安通报应变小组

网址：https://info.cert.tanet.edu.tw/

专线电话：07-5250211

网络电话：98400000

E-Mail：service@cert.tanet.edu.tw