menu arrow_back 湛蓝安全空间 |狂野湛蓝,暴躁每天 chevron_right ... chevron_right (CVE-2019-17671)Wordpress = 5.2.3未授权访问 chevron_right (CVE-2019-17671)Wordpress = 5.2.3未授权访问.md
  • home 首页
  • brightness_4 暗黑模式
  • cloud
    xLIYhHS7e34ez7Ma
    cloud
    湛蓝安全
    code
    Github
    (CVE-2019-17671)Wordpress = 5.2.3未授权访问.md
    1.07 KB / 2021-07-15 20:10:46
        (CVE-2019-17671)Wordpress未授权访问
    =====================================
    
    一、漏洞简介
    ------------
    
    wordpress 爆出最新的查看未经身份验证的文章漏洞,
    该漏洞源于程序没有正确处理静态查询,
    攻击者可利用该漏洞未经认证查看部分内容
    
    二、漏洞影响
    ------------
    
    WordPress \<= 5.2.3
    
    ### 三、复现过程
    
    ![](./resource/(CVE-2019-17671)Wordpress<=5.2.3未授权访问/media/rId24.png)
    
    登陆后台新建私密页面
    --------------------
    
    ![](./resource/(CVE-2019-17671)Wordpress<=5.2.3未授权访问/media/rId26.png)
    
    ### 随便填入内容,选择私密,发布
    
    ![](./resource/(CVE-2019-17671)Wordpress<=5.2.3未授权访问/media/rId28.png)
    
    ### 访问前台页面,退出登陆,模拟外部访问
    
    ![](./resource/(CVE-2019-17671)Wordpress<=5.2.3未授权访问/media/rId30.png)
    
    ### 漏洞利用
    
    直接访问,查看不了私密文章
    
    ![](./resource/(CVE-2019-17671)Wordpress<=5.2.3未授权访问/media/rId32.png)
    
    输入payload访问,即可未授权访问所有文章
    
        url+/?static=1&order=asc
    
    image
    
    
    links
    file_download