开发者社区> 问答> 正文

【漏洞公告】WordPress REST API 内容注入/权限提升漏洞

WordPress 是一个以 PHP 和 MySQL 为平台的自由开源的博客软件和内容管理系统,至少有 1800 万个网站使用该系统。在 4.7.0 版本后,REST API 插件的功能被集成到 WordPress 中,由此也引发了一些安全性问题。

WordPress REST API 内容注入/权限提升漏洞于 1 月 22 日被安全公司 Sucuri 研究员 Marc-Alexandre Montpas 发现并告知 WordPress 。经过 WordPress 紧急修复于 1 月 26 日(上周四)发布安全更新。

漏洞编号:暂无

官方评级:高危

漏洞描述:  
WordPress 在 4.7.0 版本后集成了原 REST API 插件的功能,并默认启用,设置为非Plain模式,使用 WordPress 程序的网站首页上会有:
<link rel="https://" href="http://wp-json/">
API 地址则为: http://wp-json/,通过该API的GET和POST请求,未经授权的攻击者利用该漏洞可注入恶意内容,以及进行提权,对文章、页面等内容进行修改,严重情况下,可以出现敏感数据泄露。


漏洞影响范围:  

WordPress 4.7.0
WordPress 4.7.1


漏洞修复建议(或缓解措施):
[font=微软雅黑, &]推荐升级到官方最新版本:

中文版WordPress 4.7.2下载
英文版WordPress 4.7.2下载


情报来源:

  • https://2017/02/content-injection-vulnerability-wordpress-rest-api.html
  • https://news/2017/01/wordpress-4-7-2-security-release/



展开
收起
正禾 2017-02-04 09:42:05 3689 0
2 条回答
写回答
取消 提交回答
  • www.zsxxfx.com,分享网站建设、网站维护、SEO优化、wordpress

    现在都5.6版本的,及时升级就可以了。而且有些wordpress主题也会做一些优化,比如禁用REST API。

    2021-01-18 14:15:49
    赞同 展开评论 打赏
  • 阿里云论坛版主,QQ 1978638808
    已经升级到最新版~
    2017-02-04 11:33:27
    赞同 展开评论 打赏
问答排行榜
最热
最新

相关电子书

更多
Spring Boot2.0实战Redis分布式缓存 立即下载
CUDA MATH API 立即下载
API PLAYBOOK 立即下载