任何的驗證和插件的情況下就可以利用遠程執(zhí)行代碼，如果利用成功，攻擊者可直接控制您的服務(wù)器，危害極大，后者未授權(quán)密碼重置漏洞在某些情況下可能允許攻擊者在未經(jīng)身份驗證的情況下獲取密碼重置鏈接。

【漏洞詳情】
1）WordPress遠程代碼執(zhí)行漏洞（CVE-2016-10033）：影響4.6全系列版本，目前已經(jīng)有公開可利用的PoC（漏洞利用程序），該漏洞主要是PHPMailer漏洞（CVE-2016-10033）在WordPress Core代碼中的體現(xiàn)，該漏洞不需要任何驗證和插件即可被利用，遠程攻擊者可以利用該漏洞執(zhí)行代碼進而控制安裝了WordPress的站點；
2）WordPress未授權(quán)密碼重置漏洞（CVE-2017-8295）: 影響WordPress Core <= 4.7.4全版本，目前已經(jīng)有公開可利用的PoC（漏洞利用程序），默認情況下，該漏洞由于WordPress使用不受信任的數(shù)據(jù)，當進行密碼重置時，系統(tǒng)會發(fā)送相關(guān)密碼重置鏈接到所有者帳戶相關(guān)聯(lián)的電子郵件。

【漏洞風(fēng)險】
WordPress遠程代碼執(zhí)行漏洞：高風(fēng)險，遠程代碼執(zhí)行；
WordPress未授權(quán)密碼重置漏洞：中風(fēng)險，具備一定的利用難度，在符合一定攻擊場景下，攻擊者可以重置任意用戶賬戶密碼；

【影響版本】
WordPress遠程代碼執(zhí)行漏洞（CVE-2016-10033）： 影響4.6全系列版本
WordPress未授權(quán)密碼重置漏洞（CVE-2017-8295）: 影響WordPress Core <= 4.7.4全版本

【安全版本】
加固后的4.7.4版本

【修復(fù)建議】
目前WordPress官方并未發(fā)布最新更新補丁，推薦更新到最新版本或者4.7以上版本后進行安全加固，最新版本下載地址：https://wordpress.org/download/