近日，白帽子Nir goldshlager發(fā)現(xiàn)了WordPress和Drupal存在DDoS攻擊風(fēng)險(xiǎn)，受影響的版本為WordPress 3.5 – 3.9和Drupal 6.x – 7.x，根據(jù)維基百科的數(shù)據(jù)，使用WordPress的站點(diǎn)可能超過(guò)6千萬(wàn)，更有超過(guò)100萬(wàn)的Drupal網(wǎng)站。

[[117845]]

漏洞影響范圍：

WordPress 3.5 – 3.9 默認(rèn)配置

Drupal 6.x – 7.x 默認(rèn)配置

漏洞造成的影響：

站點(diǎn)無(wú)法正常運(yùn)行，CPU滿負(fù)荷。

處理辦法：

升級(jí)WordPress和Drupal，或者直接刪除xmlrpc.php。

測(cè)試視頻：

http://player.vimeo.com/video/102709635

PoC僅供把自己搞死機(jī)，請(qǐng)勿用于非法用途：

https://docs.google.com/file/d/0B2-5ltUODX1Lc3pGV0FjbUk4bjA/edit?usp=sharing

更多關(guān)于此漏洞的詳細(xì)說(shuō)明請(qǐng)見(jiàn)：

http://www.breaksec.com/?p=6362

http://thehackernews.com/2014/08/millions-of-wordpress-and-drupal.html