WordPress高危拒绝服务CVE-2018-6389漏洞

百度资源平台在2018年2月6日发布了一篇关于WordPress高危拒绝服务漏洞的内容，今天推火专家seo博客把这篇内容转载过来和朋友们分享一下。CVE-2018-6389漏洞是一个应用程序级别的DoS问题，影响到WordPress CMS，即使没有大量的恶意流量，也可以被攻击者利用。几乎任何WordPress网站，包括最新版本（版本4.9.2）都可以很容易地导致拒绝服务。

该缺陷影响到“ load-scripts.php ”WordPress脚本，它接收一个名为load []的参数，其值为“jquery-ui-core”。在响应中，CMS提供了请求的JS模块“jQuery UI Core”。

load-scripts.php文件是为WordPress管理员设计的，允许将多个JavaScript文件加载到一个请求中，但研究人员注意到可以在登录之前调用该函数来允许任何人调用它。

WordPress CMS提供的响应取决于安装的插件和模块。可以通过简单地将模块和插件名称（用逗号分隔）通过“load”参数传递到load-scripts.php文件来加载它们。

如果向服务器发送一个请求，返回存储的每个JS模块。单个请求会导致服务器执行181个I/O操作，并在响应中提供文件内容。具有良好带宽或有限机器人的攻击者可以触发CVE-2018-6389漏洞攻击WordPress网站。

影响版本：全部WordPress版本，包括最新的4.9.2

漏洞等级：高危

修复建议

1、使用百度云加速WAF防火墙进行防御。

2、添加网站至安全指数，及时了解网站组件突发/0day漏洞。

了解更多

http://securityaffairs.co/wordpress/68709/hacking/cve-2018-6389-wordpress-dos-flaw.html