WordPress REST API 内容注入/权限提升漏洞

最新推荐文章于 2024-05-23 11:28:00 发布
最新推荐文章于 2024-05-23 11:28:00 发布
阅读量1.9k 收藏
点赞数
文章标签: wordpress 安全 java mysql php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/huckers/article/details/122921438
版权

WordPress 是一个以 PHP 和 MySQL 为平台的自由开源的博客软件和内容管理系统,至少有 1800 万个网站使用该系统。在 4.7.0 版本后,REST API 插件的功能被集成到 WordPress 中,由此也引发了一些安全性问题。

WordPress REST API 内容注入/权限提升漏洞于 1 月 22 日被安全公司 Sucuri 研究员 Marc-Alexandre Montpas 发现并告知 WordPress 。经过 WordPress 紧急修复,于 1 月 26 日发布安全更新。

漏洞编号:暂无

官方评级:高危

漏洞描述:

WordPress 在 4.7.0 版本后集成了原 REST API 插件的功能,并默认启用,设置为非Plain模式,使用 WordPress 程序的网站首页上会有:

<link rel="https://api.w.org/" href="http://www.xxx.com/wp-json/">

WordPress REST API 地址则为:http://xxx.com/wp-json/

通过该API的GET和POST请求,未经授权的攻击者利用该漏洞可注入恶意内容,以及进行提权,对文章、页面等内容进行修改,严重情况下,可以出现敏感数据泄露。

漏洞影响范围:

  • WordPress 4.7.0

  • WordPress 4.7.1

漏洞修复建议(或缓解措施):

  • 升级到官方最新版本 WordPress 4.7.2

文章转载自 开源中国社区 [http://www.oschina.net]

WordPress作为全球用户量最大的开源博客系统,已经有超过上千万的用户使用量。其关注人数也颇多,漏洞也是不断被发现,作为站长博主还是要时刻关注以免造成不可挽回的数据损失。

huckers
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
基于Vue.js与WordPress Rest API构建单页应用详解
10-16
主要介绍了基于Vue.js与WordPress Rest API构建单页应用详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
WordPress REST API 内容注入漏洞
acn19249的博客
06-15 605
1 WordPress REST API 内容注入漏洞 1.1 摘要 1.1.1 漏洞介绍 WordPress是一个以PHPMySQL为平台的自由开源的博客软件和内容管理系统。在4.7.0版本后,REST API插件的功能被集成到WordPress中,由此也引发了一些安全性问题。 近日,一个由REST API引起的影响WorePress4.7.0和4.7.1版本的漏洞被披露,该漏洞可...
漏洞分析】WordPress REST API 内容注入漏洞分析
Anprou的博客
02-08 4006
WordPress更新到最新版本。
新曝WordPress REST API内容注入漏洞详解
weixin_33827590的博客
08-01 543
近日,来自Sucuri的研究人员发现WordPress存在重大漏洞漏洞在于WordpressREST API,成功利用该漏洞可删除页面或修改页面内容。官方很快发布了升级版Wordpress,但很多管理员没有及时升级,以至于被篡改的网页从最初的几千一路飙升到了150万,在此也提醒各位管理员尽快升级。 一、漏洞详情 1. 漏洞信息: WordPres...
wp linux 权限,WordPress又曝漏洞REST API由于权限控制失效致内容注入
weixin_36332616的博客
04-30 182
WordPress最近曝出内容注入漏洞,影响到REST API——来自Sucuri的安全研究人员最先发现该漏洞。未经授权的攻击者利用该漏洞注入恶意内容,以及进行提权,对文章、页面等内容进行修改。REST API是最近添加到WordPress 4.7.0并默认启用的。鉴于WordPress使用的广泛性,该漏洞的影响还是比较大的。使用 WordPress REST API 是简便高效的通过 JSON...
Learning WordPress REST API
06-13
Chapter 2, Interacting with REST API in WordPress, is where you will learn the basics of the REST API in WordPress. General POST and GET commands shall be covered here. Chapter 3, Working with ...
Learning WordPress REST API mobi
05-03
Learning WordPress REST API 英文mobi 本资源转载自网络,如有侵权,请联系上传者或csdn删除 查看此书详细信息请在美国亚马逊官网搜索此书
利用WordPress REST API 开发微信小程序从入门到放弃
03-29
自从我发布并开源WordPress版微信小程序以来,很多WordPress网站的站长问有关程序开发的问题,其实在文章:《用微信小程序连接WordPress网站》讲述过一些基本的要点,不过仍然有...WordPress REST API WordPress 在4
wordpress4.7.0-4.7.1内容注入漏洞研究
zsd747289639的博客
07-17 3246
wordpress4.7.0-4.7.1内容注入漏洞研究一、获取user 1.影响:未授权获取发布过文章的其他用户的用户名、id 2.触发前提: wordpress配置REST API 3.影响版本:<= 4.7 4.漏洞说明: Get请求什么都不用做就可以避开wp-includes/rest-api/endpoints/class-wp-rest-users-controller.php
简单3步,ERP、OA、CRM等客户端,安全远程访问服务端
oray2013的专栏
05-22 232
然而,如何确保在不同地点的员工都能安全、便捷地访问公司内网的C/S(Client/Server)架构办公系统,是一个亟待解决的问题。采用贝锐花生壳内网穿透服务,可以简化这些步骤,使得远程访问变得异常简单。无需公网IP,无需繁琐的路由和网关配置,简单三步,即可实现远程访问。目前,除了上述举例的ERP系统,市面上主流C/S(Client/Server)架构办公系统均可搭配贝锐花生壳实现远程访问。传统的远程访问解决方案往往需要复杂的网络配置,包括公网IP的申请、路由和网关的设置等。
保障餐饮场所安全:可燃气体报警器专业检测的必要性
BDjiance的博客
05-21 283
可燃气体报警器是一种用于监测空气中可燃气体浓度的设备,一旦检测到可燃气体浓度超过设定的安全范围,就会发出警报,提醒人们及时采取措施,避免火灾事故的发生。在日常经营中,餐饮场所也应当加强对可燃气体报警器的日常维护和保养,定期清洁和检查,确保其在平时的使用中处于良好的状态。其次,定期检测也可以校准报警器的灵敏度,确保其能够及时、准确地检测到可燃气体的泄漏情况,提供更可靠的安全保障。综上所述,餐饮场所应当认真对待可燃气体报警器的专业检测周期,选择正规的专业机构进行检测和校准,保障其安全可靠。
服务器漏洞安全修复记录
lxw1844912514的博客
05-22 322
Redis中线上使用keys *命令是非常危险的,应该禁用或者限制使用这些危险的命令,可降低Redis写入文件漏洞的入侵风险。描述:设置密码失效时间,强制定期修改密码,减少密码被泄漏和猜测风险,使用非密码登陆方式(如密钥对)请忽略此项。例如,在一个简单的 bash 脚本中,你可以检查用户输入的命令,如果是。重命名为一个难以猜测的命令,以此来减少恶意用户利用默认命令执行未授权操作的风险。但是,需要注意的是,Redis 并没有提供完全禁用命令的机制。命令,你可以考虑修改 Redis 源代码,从源头上移除。
大坝安全位测设备:位移监测站
thhj3312的博客
05-20 867
TH-WY1大坝安全位移监测设备是用于监测水库大坝位移变化的设备,旨在确保大坝的安全运行。总的来说,大坝安全位移监测设备是大坝安全管理的重要组成部分,通过实时、准确的监测数据,可以确保大坝的安全运行,减少潜在的安全风险。
F5发布2024年5月季度安全通告
2401_84434570的博客
05-22 1145
F5 BIG-IP Next Central Manager OData注入漏洞。F5 BIG-IP Next Central Manager SQL注入漏洞。F5 BIG-IP Next Central Manager中间人攻击漏洞。F5 BIG-IP Next Central Manager中间人攻击漏洞。F5 BIG-IP APM浏览器网络访问VPN客户端来源验证错误漏洞。F5 BIG-IP Next CNF信息泄露漏洞。F5 BIG-IP配置实用程序跨站脚本漏洞
RSA与AES:打造高效且超安全的混合加密方案
那仰望的人,心底的孤独和叹息
05-19 523
RSA结合AES混合加密,实现加密账号密码等,工具类代码。 RSA是**非对称加密**的一种,具有两个密钥:公共密钥和私有密钥。公钥和私钥是一对,公钥加密后的内容只有私钥才能解密。两个密钥的不同,所以是非对称的。
安全产品】基于HFish的MySQL蜜罐溯源实验记录
uuzeray的博客
05-22 331
可以看到成功连上蜜罐的3306服务,但进行查询后会直接lost connection,属于低交互。攻击者的mysql客户端版本为5.7(要求低于8.0)当然修改配置文件后也可以读/etc/passwd。用HFish在3306端口部署MySQL蜜罐。此时HFish已经成功读到攻击者本地文件。MySQL蜜罐对攻击者机器任意文件读取。
如何保护主机的安全
最新发布
wanhengwangluo的博客
05-23 543
提高主机安全性中必不可少的则是需要定期备份重要数据,为了防止遭到网络攻击造成数据丢失或损坏的情况,在进行数据备份的同时,需要确保备份数据的安全性,进行定期测试备份数据的可恢复性。对于提高主机的安全性我们可以安装正规安全的防火墙措施,使用防火墙可以用来监控和过滤网络流量,阻止一些不良流量的访问,同时管理员也需要定期更新防火墙规则,并且避免使用默认设置。以上就是小编今天分享的内容了,如果还想了解更多内容,或者对服务器感兴趣的话,可以持续关注万恒网络科技,对于不了解和需要进行咨询的地方,也可以私信或评论小编!
敏感数据处理的艺术:安全高效的数据提取实践与挑战
weixin_44835050的博客
05-22 308
在数字化时代,数据已成为驱动经济社会发展的核心要素之一。然而,伴随数据量的爆炸性增长,敏感数据的管理和保护成为了信息安全领域的重大挑战。敏感数据,包括个人身份信息、财务记录、健康档案、商业秘密等,一旦泄露,将对个人隐私、企业利益乃至国家安全构成严重威胁。因此,如何在确保安全的前提下高效地进行敏感数据提取,成为了一个亟待解决的问题。
wordpress rest api
03-16
WordPress REST API支持多种数据格式,包括JSON和XML,可以用于创建和管理文章、页面、分类、标签、评论等WordPress网站的内容。它还提供了一些高级功能,如用户身份验证、访问控制、缓存控制等,可以帮助开发人员更...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值