阿里云
阿里云多端小程序中小企业获客首选
发表主题 回复主题
  • 2160阅读
  • 1回复

[安全漏洞公告专区]【漏洞公告】WordPress REST API 内容注入/权限提升漏洞

级别: 论坛版主
发帖
241
云币
478
WordPress 是一个以 PHP 和 MySQL 为平台的由开源的博客软件和内容管理系统,至少有 1800 万个网站使用该系统。在 4.7.0 版本后,REST API 插件的功能被集成到 WordPress 中,由此也引发了一些安全问题 ,>rr|O  
*$I5_A8,.  
WordPress REST API 内容注入/权限提升漏洞于 1 月 22 日被安全公司 Sucuri 研究员 Marc-Alexandre Montpas 发现并告知 WordPress 。经过 WordPress 紧急修复于 1 月 26 日(上周四)发布安全更新。 =E?!!EIq.  
4G4[IA u_  
漏洞编号:暂无 lnk`D(>W  
N=QeeAI}}m  
官方评级:高危 NBUSr}8|  
K9YD)351t  
漏洞描述:   lj4D: >Ov  
WordPress 在 4.7.0 版本后集成了原 REST API 插件的功能,并默认启用,设置为非Plain模式,使用 WordPress 程序的网站首页上会有: "#a_--"k9  
  1. <link rel="https://" href="http://wp-json/">
m6 )sX&  
API 地址则为:http://wp-json/,通过该API的GET和POST请求,未经授权的攻击者利用该漏洞可注入恶意内容,以及进行提权,对文章、页面等内容进行修改,严重情况下,可以出现敏感数据泄露。 c3>#.NP_  
VQQtxHTC3  
0~5'O[NhF  
漏洞影响范围:   zIyMq3  
Gqz<;y  
WordPress 4.7.0 \[Dxg`;4  
WordPress 4.7.1 &F*L=Ng  
oP$l(k  
?5A!/`E&%  
漏洞修复建议(或缓解措施): 5gPcsn"D  
[font=微软雅黑, &amp]推荐升级到官方最新版本: $ {iV]Xt  
]+SVQ|v0  
中文版WordPress 4.7.2下载 Ez*9*]O*+  
英文版WordPress 4.7.2下载 &3SQVOW ~T  
V?a+u7*U&  
hf/6VlZ  
情报来源: J5Nz<  
  • https://2017/02/content-injection-vulnerability-wordpress-rest-api.html
  • https://news/2017/01/wordpress-4-7-2-security-release/
Yy$GfjJtL]  
y7;i4::A\  
fI5]ed eS  
[ 此帖被正禾在2017-02-15 11:48重新编辑 ]
级别: 论坛版主
发帖
16048
云币
8344

只看该作者 沙发  发表于: 2017-02-04
已经升级到最新版~
善用阿里云帮助文档。
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
如果您提交过一次失败了,可以用”恢复数据”来恢复帖子内容
 
验证问题: ECS是阿里云提供的什么服务? 正确答案:云服务器
上一个 下一个
      ×
      全新阿里云开发者社区, 去探索开发者的新世界吧!
      一站式的体验,更多的精彩!
      通过下面领域大门,一起探索新的技术世界吧~ (点击图标进入)