数千万WordPress和Drupal站点存在DDoS风险

admin

近日白帽子Nir goldshlager发现了WordPress和Drupal存在DDoS攻击风险，受影响的版本为WordPress 3.5 – 3.9和Drupal 6.x – 7.x，根据为维基百科的数据，使用WordPress的站点可能超过6千万，更有超过100万的Drupal网站。

漏洞影响范围：

WordPress 3.5 – 3.9 默认配置Drupal 6.x – 7.x 默认配置

漏洞造成的影响：

站点无法正常运行，CPU满负荷。

处理办法：

升级WordPress和Drupal，或者直接删除xmlrpc.php。

测试视频：

http://player.vimeo.com/video/102709635

PoC仅供把自己搞死机，请勿用于非法用途：

https://docs.google.com/file/d/0B2-5ltUODX1Lc3pGV0FjbUk4bjA/edit?usp=sharing

更多关于此漏洞的详细说明请见：

breaksec

THN：millions-of-wordpress-and-drupal

from  FREEBUF