游戏人生看别样风景

首页 » 安全 » 正文

WordPress REST API 内容注入/权限提升漏洞

2017年02月04日 | 分类:安全 | 作者:hucker | 评论:0条评论 | 浏览:275

WordPress 是一个以 PHP 和 MySQL 为平台的自由开源的博客软件和内容管理系统,至少有 1800 万个网站使用该系统。在 4.7.0 版本后,REST API 插件的功能被集成到 WordPress 中,由此也引发了一些安全性问题。

WordPress REST API 内容注入/权限提升漏洞于 1 月 22 日被安全公司 Sucuri 研究员 Marc-Alexandre Montpas 发现并告知 WordPress 。经过 WordPress 紧急修复,于 1 月 26 日发布安全更新。

漏洞编号:暂无

官方评级:高危

漏洞描述

WordPress 在 4.7.0 版本后集成了原 REST API 插件的功能,并默认启用,设置为非Plain模式,使用 WordPress 程序的网站首页上会有:

<link rel="https://api.w.org/" href="http://www.xxx.com/wp-json/">

WordPress REST API 地址则为:http://xxx.com/wp-json/

通过该API的GET和POST请求,未经授权的攻击者利用该漏洞可注入恶意内容,以及进行提权,对文章、页面等内容进行修改,严重情况下,可以出现敏感数据泄露。

漏洞影响范围:

  • WordPress 4.7.0

  • WordPress 4.7.1

漏洞修复建议(或缓解措施):

  • 升级到官方最新版本 WordPress 4.7.2

文章转载自 开源中国社区 [http://www.oschina.net]


WordPress作为全球用户量最大的开源博客系统,已经有超过上千万的用户使用量。其关注人数也颇多,漏洞也是不断被发现,作为站长博主还是要时刻关注以免造成不可挽回的数据损失。

发表评论:

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。

«   2018年11月   »
1234
567891011
12131415161718
19202122232425
2627282930
网站分类
标签列表
最近发表
最新留言
网站收藏
    RainbowSoft Studio Z-Blog订阅本站的 RSS 2.0 新闻聚合html5创意