近日，白帽子Nir goldshlager發(fā)現(xiàn)了WordPress和Drupal存在DDoS攻擊風(fēng)險，受影響的版本為WordPress 3.5 – 3.9和Drupal 6.x – 7.x，根據(jù)維基百科的數(shù)據(jù)，使用WordPress的站點可能超過6千萬，更有超過100萬的Drupal網(wǎng)站。

[[117845]]

漏洞影響范圍：

WordPress 3.5 – 3.9 默認(rèn)配置

Drupal 6.x – 7.x 默認(rèn)配置

漏洞造成的影響：

站點無法正常運行，CPU滿負荷。

處理辦法：

升級WordPress和Drupal，或者直接刪除xmlrpc.php。

測試視頻：

http://player.vimeo.com/video/102709635

PoC僅供把自己搞死機，請勿用于非法用途：

https://docs.google.com/file/d/0B2-5ltUODX1Lc3pGV0FjbUk4bjA/edit?usp=sharing

更多關(guān)于此漏洞的詳細說明請見：

http://www.breaksec.com/?p=6362

http://thehackernews.com/2014/08/millions-of-wordpress-and-drupal.html