WordPress REST API内容注入漏洞安全预警

安全公司 Sucuri 研究员发现WordPress 插件REST API 存在远程内容注入漏洞。攻击者可以未经验证被查看、修改、删除WordPress 所有文章内容,甚至创建新的文章,危害巨大。请您及时检查受影响情况并升级WordPress。

影响范围
WordPress 4.7.0
WordPress 4.7.1

修复方案
升级WordPress到4.7.2版本

漏洞详情
WordPress REST API 插件在 4.70 集成到 WordPress 中,并默认启用,Permalinks设置为非Plain模式。使用 WordPress 程序的网站首页上会有:
WordPress REST API 地址则为:http://xxx.com/wp-json/
远程攻击者可利用漏洞提升权限或执行内容注入操作,如:对WordPress所有文章内容执行修改、删除、创建等未授权操作。

参考链接
https://blog.sucuri.net/2017/02/content-injection-vulnerability-wordpress-rest-api.html
http://v2.wp-api.org/

WordPress 4.7.2 Security Release

上一篇

猜你喜欢

在线客服

会员登录 还没有账号? 立即注册