关于WordPress5.0.0远程代码执行高危 漏洞的预警通报

近日，网上有关渠道公布:WordPress5.0.0远程代码执行漏洞。漏洞编号：CVE-2019-6977，漏洞级别为“高危”。WordPress基于PHP语言开发，普遍用于和支持PHP和MySQL数据库服务器架设网站，也可将WordPress作为一个内容管理系统（CMS）使用。据WordPress官方公布，全球超过33％的互联网网站使用WordPress。

一、漏洞情况

该漏洞是攻击者掌握WordPress的author权限账号，通过链接以下四个流程产生新的远程执行代码漏洞：一是PostMeta变量覆盖，修改媒体库中图片_wp_attached_file变量；二是图片裁剪功能，将裁剪后图片写至任意目录下（目录穿越漏洞）；三是PostMeta变量覆盖，重新设置_wp_page_template变量；四是图片裁剪过后，保留或出现包含php敏感代码。

二、影响范围

WordPress<= 5.1.1。

三、处置建议

WordPress官方已发布补丁予以修复漏洞。建议各单位开启WordPress默认自动更新环境及时更新。

附件：参考链接

https://wordpress.org/news/2019/03/wordpress-5-1-1-security-and-maintenance-release。

wordpress图片自动裁剪功能关闭方法

我们在wordpress上传一张图片后，会自动剪切成不同尺寸的图片，存在服务器，如果上传图片比较多的话会占用大量服务器内存，还会拖慢网站的响应速度。

因为wordpress默认有图片自动剪切功能，功能函数为：

functionset_post_thumbnail_size($width=0,$height=0,$crop=false){
add_image_size('post-thumbnail',$width,$height,$crop);
}

如果要关闭自动裁剪功能的话，需要禁用这个函数。

可以在主题函数function.php中加入下面代码：

//彻底禁止WordPress缩略图
add_filter('add_image_size',create_function('','return1;'));

缺点是，更换了主题，又需要重新去添加。

下面介绍另外一个方法，就是进入wordpress上帝模式，打开隐藏功能进行设置：

ctrl+F 搜索medium_large_size_w 把值改成0 保存即可