正文

WordPress REST API 输入验证错误漏洞

admin
admin V管理员 /0 评论 /19 阅读
0113
此篇文章发布距今已超过1254天,您需要注意文章的内容或图片是否可用!

漏洞信息详情

WordPress REST API 输入验证错误漏洞

  • CNNVD编号:CNNVD-201704-186
    • <!--
  • 危害等级: 高危-->
  • 危害等级: 高危
  • CVE编号: CVE-2017-1001000
  • 漏洞类型: 权限许可和访问控制问题
  • 发布时间: 2017-04-07
  • 威胁类型: 远程
  • 更新时间: 2019-10-23
  • 厂        商: wordpress
  • 漏洞来源:

漏洞简介

WordPress是WordPress软件基金会的一套使用PHP语言开发的博客平台,该平台支持在PHP和MySQL的服务器上架设个人博客网站。REST API是其中的一个用于操作其它API界面的插件。

WordPress 4.7.2之前的4.7.x版本的REST API的wp-includes/rest-api/endpoints/class-wp-rest-posts-controller.php文件的‘register_routes’参数存在安全漏洞,该漏洞源于程序没有要求整数标识符。远程攻击者可利用该漏洞更改任意页面。

漏洞公告

目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:

https://codex.wordpress.org/Version_4.7.2

参考网址

来源:CONFIRM

链接:https://github.com/WordPress/WordPress/commit/e357195ce303017d517aff944644a7a1232926f7

来源:CONFIRM

链接:https://codex.wordpress.org/Version_4.7.2

来源:MISC

链接:https://gist.github.com/leonjza/2244eb15510a0687ed93160c623762ab

来源:CONFIRM

链接:https://wordpress.org/news/2017/01/wordpress-4-7-2-security-release/

来源:CONFIRM

链接:https://make.wordpress.org/core/2017/02/01/disclosure-of-additional-security-fix-in-wordpress-4-7-2/

来源:SECTRACK

链接:http://www.securitytracker.com/id/1037731

来源:MLIST

链接:http://www.openwall.com/lists/oss-security/2017/02/10/16

来源:MISC

链接:https://blog.sucuri.net/2017/02/content-injection-vulnerability-wordpress-rest-api.html

来源:MISC

链接:https://blogs.akamai.com/2017/02/wordpress-web-api-vulnerability.html

受影响实体

  • Wordpress Wordpress:4.7.1  
    <!--
    2000-1-1
    -->
  • Wordpress Wordpress:4.7.2  
    <!--
    2000-1-1
    -->
  • Wordpress Wordpress:4.7  
    <!--
    2000-1-1
    -->

补丁

  • WordPress REST API 输入验证漏洞的修复措施
    <!--
    2017-4-7
    -->