上周四,WordPress 发布了一个安全更新,修复了三个安全漏洞但没有透露详细信息。但是如果您还尚未更新,请立即更新到 4.7.2 版本。因为除了三个安全漏洞之外,还修复了一个由 WordPress REST API 引起的零日漏洞。该漏洞可以导致远程权限提升和内容注入,WordPress 所有文章内容可以未经验证被查看,修改,删除,甚至创建新的文章,危害巨大。国内漏洞情报平台 Seebug.org 也发表了相关漏洞复现情况。
漏洞影响版本:
WordPress 4.7.0
WordPress 4.7.1
WordPress 是一个以 PHP 和 MySQL 为平台的自由开源的博客软件和内容管理系统,至少有 1800 万个网站使用该系统。在 4.7.0 版本后,REST API 插件的功能被集成到 WordPress 中,由此也引发了一些安全性问题。
该漏洞于 1 月 22 日被安全公司 Sucuri 研究员 Marc-Alexandre Montpas 发现并告知 WordPress 。经过 WordPress 紧急修复于 1 月 26 日(上周四)发布安全更新。昨天,Wordpress 官方才向公众透露事件详情。
from hackernews.cc.thanks for it.
![[SQL] dedecms转wordpress 分类更新-微慑信息网-VulSee.com](https://vulsee.com/images/vulsee/vulsee-3.png)
![[lnmp+wordpress]设置http 301跳转到https - vulsee.com-微慑信息网-VulSee.com](http://vulsee.com/wp-content/uploads/2021/09/Pasted-2.png)
![[八卦] 王婷婷—揭秘一个大三女生的性爱录像-微慑信息网-VulSee.com](http://free.86hy.com/crack/pic/1.jpg)
![[随笔]今天国际警察节-微慑信息网-VulSee.com](http://photo.sohu.com/20041017/Img222528326.jpg)
青云网
