重要:尽快更新WordPress最新版本

  • A+
所属分类:建站之谈

WordPress发现内容注入漏洞——REST API,来自Sucuri的安全研究人员最先发现该漏洞。攻击者利用该漏洞可注入恶意内容,以及进行提权,对文章、页面等内容进行修改。REST API是最近添加到WordPress 4.7.0并默认启用的。

漏洞名称

 WordPress REST API 内容注入/权限提升

危害版本

V 4.7.0 –V 4.7.1

漏洞详情

 WordPress 在 4.7.0 版本后集成了原 REST API 插件的功能

修复方案

升级最新版本

WordPress在建站领域的使用十分情况广泛,所以说该漏洞的影响还是比较大的。API 提供了对用户、文章、分类等不同功能的控制,也可以通过 API 检索或修改文章。Wordpress REST API 插件在 4.70 集成到 WordPress 中,由于权限控制失效导致内容注入或修改。WordPress开发团队已经与Sucuri配合在最新的4.7.2版本中修复了该漏洞。
使用 WordPress 的网站首页上会出现:

查看文章列表:

 

根据文章列表可以找到对应的id

检索文章

 

修改文章

 

如果返回 401 则无权限修改

详细的 API 使用方法见:http://v2.wp-api.org/

漏洞PoC:

 

返回 200 修改成功

本文为收集整理文章

  • 我的微信
  • 我的微信扫一扫
  • weinxin
  • 我的QQ
  • 我的QQ扫一扫
  • weinxin
南侠

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: