近日，多个系统爆发高危漏洞，深信服快速进行预警响应，连续处置多个漏洞，为用户提供漏洞检测和解决方案，为企业安全赋能。

漏洞一：Jenkins Java 反序列化远程执行代码漏洞

漏洞编号

CVE-2017-1000353

漏洞描述

5 月 3 日，Jenkins （是一个开源软件项目，旨在提供一个开放易用的软件平台，使软件的持续集成变成可能）官方发布安全公告，公告介绍 Jenkins 版本中存在 Java 反序列化高危漏洞，可以导致远程代码执行。

该漏洞存在于使用 HTTP 协议的双向通信通道的具体实现代码中，Jenkins 利用此通道来接收命令，恶意攻击者可以构造恶意攻击参数远程执行命令，从而获取系统权限，造成数据泄露。

漏洞影响

所有 Jenkins 主版本均受到影响 (包括 2.56 版本)

所有 Jenkins LTS 均受到影响 ( 包括 2.46.1 版本)

修复建议

目前已公开 POC，建议用户尽快升级到最新版：

• Jenkins 主版本用户升级到 2.58

• Jenkins LTS 版本用户升级到 2.46.2

漏洞二：PHPCMS V9.6.1 任意文件读取漏洞

漏洞编号

CVE-2017-1000353

漏洞描述

5 月 3 日，PHPCMSV9.6.1 曝出存在任意文件读取漏洞。利用该漏洞用户无需登录，可以读取数据库配置文件、获取authkey，可以进行高危恶意操作，包括SQL注入、获取用户敏感信息等。

漏洞影响

PHPCMSV9.6.1Release20170412

修复建议

• 严格过滤fileurl变量，将其限制upload_path目录内；

• 目前官网发布的修复版本PHPCMSv9.6.2仍可被绕过利用，建议受影响用户随时关注PHPCMS 官方网站，获取最新修补方案，官网链接：http://bbs.phpcms.cn/forum.php

漏洞三：WordPress 4.6 远程代码执行漏洞

漏洞编号

CVE-2016-10033

漏洞描述

这个漏洞主要是 WordPress Core 代码中使用了存在安全漏洞(CVE-2016-10033)的 PHPMailer 组件，该漏洞不需要任何的验证和插件，在默认的配置情况下就可以利用。远程攻击者可以利用该漏洞执行代码。

漏洞影响

WordPress 4.6 版本

修复建议

更新到最新版本或者 4.7 以上版本 ，下载地址： https://wordpress.org/latest.zip

漏洞四：WordPress Core <= 4.7.4 全版本密码重置漏洞

漏洞编号

CVE-2017-8295

漏洞描述

WordPress的重置密码功能存在漏洞，在某些情况下允许攻击者在未经身份验证的情况下获取密码重置链接。该攻击可导致攻击者在未经授权的情况下获取用户Wordpress后台管理权限。

漏洞影响

WordPress至最新版本4.7.4全部受影响

修复建议

目前没有官方解决方案可用。作为临时解决方案，用户可以启用UseCanonicalName 强制执行静态SERVER_NAME 值，参考链接：

https://httpd.apache.org/docs/2.4/mod/core.html#usecanonicalname