UCloud-201702-001: WordPress REST API内容注入漏洞安全预警 | U刻
  • UCloud-201702-001: WordPress REST API内容注入漏洞安全预警

    栏目:安全资讯
    wordpress
    尊敬的UCloud用户:
    安全公司 Sucuri 研究员发现WordPress 插件REST API 存在远程内容注入漏洞。攻击者可以未经验证被查看、修改、删除WordPress 所有文章内容,甚至创建新的文章,危害巨大。请您及时检查受影响情况并升级WordPress。

     

    影响范围
    WordPress 4.7.0
    WordPress 4.7.1

     

    修复方案
     升级WordPress到4.7.2版本

     

    漏洞详情
    WordPress REST API 插件在 4.70 集成到 WordPress 中,并默认启用,Permalinks设置为非Plain模式。使用 WordPress 程序的网站首页上会有:
    <link rel=”https://api.w.org/” href=”http://www.xxx.com/wp-json/”>
    WordPress REST API 地址则为:http://xxx.com/wp-json/
    远程攻击者可利用漏洞提升权限或执行内容注入操作,如:对WordPress所有文章内容执行修改、删除、创建等未授权操作。

     

    参考链接