前言
相信许多人对WordPress并不陌生,但是,WordPressCMS平台中出现了一个应用程序级别的拒绝服务(DoS)漏洞,该漏洞影响严重,会导致大多数WordPress网站被关闭,简单到一个人只用一台机器就可以做到。
由于该公司拒绝修补这个漏洞(CVE--),它目前仍然存在,几乎影响到之前发布的所有WordPress版本,包括最新的4.9.2版本。
该漏洞与load-scripts.php脚本有关,load-scripts.php是WordPressCMS中的一个内置脚本。对于普通用户来讲,load-scripts.php文件只是为管理员设计的,用来将服务器端的多个JavaScript文件组合成一个请求,来帮助网站在加载页面时提高性能。
在登录之前,为了使load-scripts.php可以在管理登录页面(wp-login.php)上运行,WordPress作者没有设置任何身份验证,这使得任何人都可以使用该功能。
根据安装的插件和模块的不同,load-scripts.php文件通过将所需的JavaScript名称传入“load”参数中,进而选择性地调用所需的JavaScript文件,并用逗号分隔。
如下面的URL所示: