近日，白帽子Nir goldshlager发现了WordPress和Drupal存在DDoS攻击风险，受影响的版本为WordPress 3.5 – 3.9和Drupal 6.x – 7.x，根据维基百科的数据，使用WordPress的站点可能超过6千万，更有超过100万的Drupal网站。

　　数千万WordPress和Drupal站点存在DDoS风险

　　漏洞影响范围：

　　WordPress 3.5 – 3.9 默认配置

　　Drupal 6.x – 7.x 默认配置

　　漏洞造成的影响：

　　站点无法正常运行，CPU满负荷。

　　数千万WordPress和Drupal站点存在DDoS风险

　　数千万WordPress和Drupal站点存在DDoS风险

　　数千万WordPress和Drupal站点存在DDoS风险

　　处理办法：

　　升级WordPress和Drupal，或者直接删除xmlrpc.php。

　　测试视频：

　　http：//player.vimeo.com/video/102709635

　　PoC仅供把自己搞死机，请勿用于非法用途：

　　https：//docs.google.com/file/d/0B2-5ltUODX1Lc3pGV0FjbUk4bjA/edit？usp=sharing

　　更多关于此漏洞的详细说明请见：

　　http：//www.breaksec.com/？p=6362

　　http：//thehackernews.com/2014/08/millions-of-wordpress-and-drupal.html