2019年3月25日，国外安全研究人员发现WordPress在大量攻击数据中插进Social Warfare远程代码执行系统漏洞。

该系统漏洞坐落于social-warfare \ lib \ utilities \ SWP_Database_Migration.Python文件中的eval（）涵数中，该文件能够在“swp_网页地址”set主要参数中运作网络攻击定义的Python编码。

此系统漏洞允许网络攻击移交整个WordPress站点并管理服务器账号上的所有文件和数据库，从而实现对整个网络服务器的完全远程移交。

WordPress部件介绍 WordPress是使用Python语言开发的cms源码系统。它是网络上最火爆的cms源码之一，也是个人博客系统。

根据w3tech，大概30％的网站使用它，用户可以在支持Python和MySQL数据库的网络服务器上建立自己的网站或使用自己的搏客。

社会 战事 软件是WordPress的流行社交媒体分享软件。它已安装在WordPress网站上超过70,0500。该软件也是WordPress社交媒体共享资源软件的管理者。

用户可以使用此软件来获得更多社交媒体共享资源。使用此软件可获得更多网站访问量。 社会 WordPress中的战事软件 插件库已更新。

该软件最后更新为2019年3月24日。最新版为3.5.4。该软件现有社对战。 Plugin  2.2.x，Social Warfare Plugin  2.3.x，Social Warfare Plugin  3.3.x，Social Warfare Plugin  3.4.x，Social Warfare 软件  3.5.x5个系列，每个版本号的软件使用如下：

系统漏洞叙述 WordPress社交媒体战事软件远程执行编码系统漏洞影响社交媒体战事软件 在3.5.3之前，我们从上每节中使用的各种版本号的Social Warfare软件中了解到，该系统漏洞影响了超过90％的用户。 该系统漏洞坐落于social-warfare \ lib \ utilities \ SWP_Database_Migration.Python文件中的eval（）涵数中，该文件能够在“swp_网页地址”set主要参数中运作网络攻击定义的Python编码。此系统漏洞允许网络攻击移交整个WordPress站点并管理服务器账号上的所有文件和数据库，从而实现对整个网络服务器的完全远程移交。

系统漏洞分析 在文件social-warfare \ lib \ utilities \ SWP_Database_Migration.Python中：

在编码中，网络服务器使用file_set_contents载入文件的内容，储存文件的内容，将其储存在选择项中，随后在鉴别＆lt; pre＆gt;之后将处理后的内容保存到$ array中。

标识在内容中。最后，此参数直接进入eval主要参数，可能会导致远程执行编码系统漏洞。 系统漏洞重现 我们首先在任何版本号的WordPress上安装Social  Warfare软件，随后使用结构的有效负荷攻击站点并最后运行命令。在全球范围之内设立WordPress网站到互联网的财产数量高达12,837,569。

属于中国的受影响的WordPress财产数量超过190,0500。安装的软件数量超过70,0500。 目前受影响的社交媒体战事软件版本号： 社交媒体战事软件 

修补建议 WordPress的官方插件库已经使用软件版本号进行了更新，软件的用户可以更新到软件的最新版： htpp://wordpress.org/plugins/social-warfare/advanced/      

参照连接 htpp://WWW.webarxsecurity.Com/social-warfare-vulnerability/