一、概要

近日華為云監(jiān)測(cè)到某研究者發(fā)布WordPress遠(yuǎn)程代碼執(zhí)行漏洞POC，當(dāng)用戶使用Contact Form 7插件和特定版本的Drag and Drop File Upload Contact Form插件時(shí)，可導(dǎo)致遠(yuǎn)程代碼執(zhí)行漏洞。

華為云提醒使用WordPress的用戶及時(shí)安排自檢并做好安全加固。

詳情請(qǐng)參考鏈接：

https://wordpress.org/plugins/drag-and-drop-multiple-file-upload-contact-form-7/#developers

二、威脅級(jí)別

威脅級(jí)別：【嚴(yán)重】

（說(shuō)明：威脅級(jí)別共四級(jí)：一般、重要、嚴(yán)重、緊急）

三、漏洞影響范圍

影響版本：

此漏洞影響所有安裝WordPress并且同時(shí)啟用Contact Form 7插件和Drag and Drop File Upload Contact Form插件，并且Drag and Drop File Upload Contact Form插件版本小于等于1.3.3.2的用戶。

四、漏洞處置

目前，官方已發(fā)布新的插件版本修復(fù)了該漏洞，請(qǐng)受影響的用戶升級(jí)到安全版本（1.3.3或更高版本）：

最新版本下載地址：https://downloads.wordpress.org/plugin/drag-and-drop-multiple-file-upload-contact-form-7.zip

華為云WAF支持PHP文件上傳檢測(cè)，建議使用WordPress的華為云WAF用戶開(kāi)啟Web基礎(chǔ)防護(hù)中Webshell檢測(cè)，設(shè)置攔截模式，并將設(shè)置防護(hù)等級(jí)為嚴(yán)格。

注：修復(fù)漏洞前請(qǐng)將資料備份，并進(jìn)行充分測(cè)試。