UCloud-201702-001: WordPress REST API内容注入漏洞安全预警 – U刻

UCloud-201702-001: WordPress REST API内容注入漏洞安全预警 – U刻

UCloud-201702-001: WordPress REST API内容注入漏洞安全预警

UCloud-201702-001: WordPress REST API内容注入漏洞安全预警

云安全团队

2017.02.04
栏目：安全资讯

尊敬的UCloud用户:

安全公司 Sucuri 研究员发现WordPress 插件REST API 存在远程内容注入漏洞。攻击者可以未经验证被查看、修改、删除WordPress 所有文章内容，甚至创建新的文章，危害巨大。请您及时检查受影响情况并升级WordPress。

影响范围

WordPress 4.7.0

WordPress 4.7.1

修复方案

升级WordPress到4.7.2版本

漏洞详情

WordPress REST API 插件在 4.70 集成到 WordPress 中，并默认启用，Permalinks设置为非Plain模式。使用 WordPress 程序的网站首页上会有：

<link rel=”https://api.w.org/” href=”http://www.xxx.com/wp-json/”>

WordPress REST API 地址则为：http://xxx.com/wp-json/

远程攻击者可利用漏洞提升权限或执行内容注入操作，如：对WordPress所有文章内容执行修改、删除、创建等未授权操作。

参考链接

https://blog.sucuri.net/2017/02/content-injection-vulnerability-wordpress-rest-api.html

http://v2.wp-api.org/

https://wordpress.org/news/2017/01/wordpress-4-7-2-security-release/

*本平台所发布文章信息，版权归UCloud所有，如需转载请注明出处！

云安全团队

查看TA的所有文章