WordPress插件W3 Total Cache爆漏洞可获取密码数据库信息 - V2EX

Home Sign Up Sign In

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

Sign Up Now

For Existing Member Sign In

This topic created in 4870 days ago, the information mentioned may be changed or developed.

WordPress插件W3 Total Cache爆漏洞可获取密码数据库信息,W3 Total Cache插件存储的数据在 “/wp-content/w3tc/dbcache/” ，攻击者可以在该目录浏览和下载缓存数据信息。用这插件的赶紧升级吧。 http://www.freebuf.com/vuls/6612.html

7 replies • 1970-01-01 08:00:00 +08:00

1

wy315700

Dec 27, 2012

关闭列目录功能应该会好很多了

2

BOYPT

Dec 27, 2012

@wy315700 那个脚本就是用md5暴力尝试目录里面的内容

3

BOYPT

Dec 28, 2012

使用apc、memcache作为缓存引擎的话就没这个问题。

4

90blog

Dec 28, 2012

本来打算用的，不过后来选择了WP Super Cache，现在全卸了。。。

5

mogita

Dec 28, 2012

前天刚知道 W3TC，试过，卸了。
然后试了 WPSC，保持在用呢。
虚拟主机上 W3TC 确实不敢用，这货轻松跑满内存，然后所有站点都 500 了。。

6

wy315700

Dec 28, 2012

@BOYPT 其实好多程序都存在这个问题比如说 discuz的备份也是直接存在服务器上的知道路径的话可以直接下载

7

BOYPT

Dec 28, 2012

@ck65 w3tc 适合在vps或者独立主机使用，需要自己调php环境，用apc做缓冲后端的话挺好的。

About · Help · Advertise · Blog · API · FAQ · Solana · 5876 Online Highest 6679 ·

Select Language

创意工作者们的社区

World is powered by solitude

VERSION: 3.9.8.5 · 65ms · UTC 03:37 · PVG 11:37 · LAX 20:37 · JFK 23:37
♥ Do have faith in what you're doing.