WordPress 最受歡迎的緩存插件 WP Super Cache 和 W3 Total Cache 有大約 6 百萬的下載，現(xiàn)在被發(fā)現(xiàn)這兩個插件同存在了安全漏洞，該漏洞允許遠(yuǎn)程用戶在服務(wù)器上執(zhí)行任意的 PHP代碼。

[[71650]]

緩存插件的目的是通過將頁面保存在內(nèi)存中來提升網(wǎng)站訪問的性能。目前 WP Super Cache 1.2 及以下版本和 W3 Total Cache 的0.9.2.8及以下版本都存在該漏洞，建議用戶立即升級到 WP Super Cache (1.3.1) and W3 Total Cache(0.9.2.9)

該問題在一個月前就已經(jīng)在 WordPress 的論壇上報告，這里有一篇博客解釋該漏洞的詳情。攻擊者可以在評論中編寫 PHP代碼并提交，首個刷新的頁面將執(zhí)行代碼片段解析并執(zhí)行頁面上的 PHP代碼。通過禁用動態(tài)代碼片段可以阻止此問題，但更簡單的方法是升級插件。[譯oschina via h-online]