漏洞信息详情

WordPress REST API 输入验证错误漏洞

• CNNVD编号：CNNVD-201704-186
• 危害等级： 高危
  
• CVE编号： CVE-2017-1001000
• 漏洞类型： 权限许可和访问控制问题
• 发布时间： 2017-04-07
• 威胁类型： 远程
• 更新时间： 2019-10-23
• 厂        商： wordpress
• 漏洞来源：

漏洞简介

WordPress是WordPress软件基金会的一套使用PHP语言开发的博客平台，该平台支持在PHP和MySQL的服务器上架设个人博客网站。REST API是其中的一个用于操作其它API界面的插件。

WordPress 4.7.2之前的4.7.x版本的REST API的wp-includes/rest-api/endpoints/class-wp-rest-posts-controller.php文件的‘register_routes’参数存在安全漏洞，该漏洞源于程序没有要求整数标识符。远程攻击者可利用该漏洞更改任意页面。

漏洞公告

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

https://codex.wordpress.org/Version_4.7.2

参考网址

来源:CONFIRM

链接:https://github.com/WordPress/WordPress/commit/e357195ce303017d517aff944644a7a1232926f7

来源:CONFIRM

链接:https://codex.wordpress.org/Version_4.7.2

来源:MISC

链接:https://gist.github.com/leonjza/2244eb15510a0687ed93160c623762ab

来源:CONFIRM

链接:https://wordpress.org/news/2017/01/wordpress-4-7-2-security-release/

来源:CONFIRM

链接:https://make.wordpress.org/core/2017/02/01/disclosure-of-additional-security-fix-in-wordpress-4-7-2/

来源:SECTRACK

链接:http://www.securitytracker.com/id/1037731

来源:MLIST

链接:http://www.openwall.com/lists/oss-security/2017/02/10/16

来源:MISC

链接:https://blog.sucuri.net/2017/02/content-injection-vulnerability-wordpress-rest-api.HTML

来源:MISC

链接:https://blogs.akamai.com/2017/02/wordpress-web-api-vulnerability.HTML

受影响实体

• Wordpress Wordpress:4.7.1  
• Wordpress Wordpress:4.7.2  
• Wordpress Wordpress:4.7  

补丁

• WordPress REST API 输入验证漏洞的修复措施