WordPress REST API内容注入漏洞安全预警

2017-02-09 15:33:12 网司令

wordpress.png

尊敬的网司令用户:

安全公司 Sucuri 研究员发现WordPress 插件REST API 存在远程内容注入漏洞。攻击者可以未经验证被查看、修改、删除WordPress 所有文章内容,甚至创建新的文章,危害巨大。请您及时检查受影响情况并升级WordPress。

 

影响范围

WordPress 4.7.0

WordPress 4.7.1

 

修复方案

 升级WordPress到4.7.2版本

 

漏洞详情

WordPress REST API 插件在 4.70 集成到 WordPress 中,并默认启用,Permalinks设置为非Plain模式。使用 WordPress 程序的网站首页上会有:

<link rel=”https://api.w.org/” href=”http://www.xxx.com/wp-json/”>

WordPress REST API 地址则为:http://xxx.com/wp-json/

远程攻击者可利用漏洞提升权限或执行内容注入操作,如:对WordPress所有文章内容执行修改、删除、创建等未授权操作。

 

参考链接

https://blog.sucuri.net/2017/02/content-injection-vulnerability-wordpress-rest-api.html

http://v2.wp-api.org/

https://wordpress.org/news/2017/01/wordpress-4-7-2-security-release/