WordPress爆Cookies漏洞 黑客可绕过认证

日前，国外安全研究人员斯蒂芬·J·莫道奇发现，流行的个人博客站点程序WordPress中存在一个安全漏洞，攻击者可利用该漏洞绕过某些安全限制。

WordPress爆出Cookies安全认证漏洞

据莫道奇称，由于可以从WordPress站点数据库User表数据中构造2个认证Cookies（wordpressuser_*和wordpresspass_*），从而导致WordPress出现这个漏洞。

攻击者在成功利用该漏洞之后，可以以治理员身份登陆，但许多拥有对数据库user表的读权限。

据称，互联网上已经出现了该漏洞的攻击。

莫道奇指出，在wordpress 2.3.1和所有之前的版本，包括v1.5在内都存在这个漏洞。

针对次漏洞，莫道奇给出了解决方案：只给予可信用户对user数据表的读权限，通过 .htaccess等设置，限制对wp-admin目录的访问。

WordPress是一种使用PHP语言和MySQL数据库开发的开源、免费的Blog（博客，网志）引擎，用户可以在支持PHP和MySQL数据库的服务器上建立自己的Blog。