微慑信息网

WordPress 发布更新“秘密”修复 REST API 插件零日漏洞

上周四,WordPress 发布了一个安全更新,修复了三个安全漏洞但没有透露详细信息。但是如果您还尚未更新,请立即更新到 4.7.2 版本。因为除了三个安全漏洞之外,还修复了一个由 WordPress REST API 引起的零日漏洞。该漏洞可以导致远程权限提升和内容注入,WordPress 所有文章内容可以未经验证被查看,修改,删除,甚至创建新的文章,危害巨大。国内漏洞情报平台 Seebug.org 也发表了相关漏洞复现情况。

漏洞影响版本:
WordPress 4.7.0
WordPress 4.7.1

WordPress 是一个以 PHP 和 MySQL 为平台的自由开源的博客软件和内容管理系统,至少有 1800 万个网站使用该系统。在 4.7.0 版本后,REST API 插件的功能被集成到 WordPress 中,由此也引发了一些安全性问题。

该漏洞于 1 月 22 日被安全公司 Sucuri 研究员 Marc-Alexandre Montpas 发现并告知 WordPress 。经过 WordPress 紧急修复于 1 月 26 日(上周四)发布安全更新。昨天,Wordpress 官方才向公众透露事件详情。

 

 

from hackernews.cc.thanks for it.

本文标题:WordPress 发布更新“秘密”修复 REST API 插件零日漏洞
本文链接:
(转载请附上本文链接)
http://vulsee.com/archives/vulsee_2017/0202_546.html
转载请附本站链接,未经允许不得转载,,谢谢:微慑信息网-VulSee.com » WordPress 发布更新“秘密”修复 REST API 插件零日漏洞
分享到: 更多 (0)

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

微慑信息网 专注工匠精神

访问我们联系我们