漏洞信息详情
WordPress REST API 输入验证错误漏洞
- CNNVD编号:CNNVD-201704-186
- 危害等级: 高危
- CVE编号: CVE-2017-1001000
- 漏洞类型: 权限许可和访问控制问题
- 发布时间: 2017-04-07
- 威胁类型: 远程
- 更新时间: 2019-10-23
- 厂 商: wordpress
- 漏洞来源:
漏洞简介
WordPress是WordPress软件基金会的一套使用PHP语言开发的博客平台,该平台支持在PHP和MySQL的服务器上架设个人博客网站。REST API是其中的一个用于操作其它API界面的插件。
WordPress 4.7.2之前的4.7.x版本的REST API的wp-includes/rest-api/endpoints/class-wp-rest-posts-controller.php文件的‘register_routes’参数存在安全漏洞,该漏洞源于程序没有要求整数标识符。远程攻击者可利用该漏洞更改任意页面。
漏洞公告
目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
https://codex.wordpress.org/Version_4.7.2
参考网址
来源:CONFIRM
链接:https://github.com/WordPress/WordPress/commit/e357195ce303017d517aff944644a7a1232926f7
来源:CONFIRM
链接:https://codex.wordpress.org/Version_4.7.2
来源:MISC
链接:https://gist.github.com/leonjza/2244eb15510a0687ed93160c623762ab
来源:CONFIRM
链接:https://wordpress.org/news/2017/01/wordpress-4-7-2-security-release/
来源:CONFIRM
链接:https://make.wordpress.org/core/2017/02/01/disclosure-of-additional-security-fix-in-wordpress-4-7-2/
来源:SECTRACK
链接:http://www.securitytracker.com/id/1037731
来源:MLIST
链接:http://www.openwall.com/lists/oss-security/2017/02/10/16
来源:MISC
链接:https://blog.sucuri.net/2017/02/content-injection-vulnerability-wordpress-rest-api.HTML
来源:MISC
链接:https://blogs.akamai.com/2017/02/wordpress-web-api-vulnerability.HTML
受影响实体
- Wordpress Wordpress:4.7.1
- Wordpress Wordpress:4.7.2
- Wordpress Wordpress:4.7
补丁
- WordPress REST API 输入验证漏洞的修复措施
![weinxin](http://zone.ci/zone_ci_images/zone.ci.png)
评论