安防峰会
您正在使用IE低版浏览器,为了您的雷锋网账号安全和更好的产品体验,强烈建议使用更快更安全的浏览器
网络安全 正文
发私信给谢幺
发送

0

WordPress 4.7.1 零日漏洞现身,分分钟改掉你的网站内容

本文作者:谢幺 2017-02-03 12:32
导语:快去升级你的WordPress,否则可能被挂上羞羞的广告。

WordPress 最初一款个人博客系统,由于简单易用便逐渐发展成了内容管理系统,深受广大人民喜爱。

几天前,不少网站管理员发现自己的 WordPress 自动升级到了最新的 4.7.2 版本,正当许多人疑惑不解时,2月2日,安全公司 Sucuri 曝出 4.7 和 4.7.1 版本 WordPress 的 REST API (一种接口规范)存在零日漏洞,攻击者利用该漏洞可以任意修改网站内容。

WordPress 4.7.1 零日漏洞现身,分分钟改掉你的网站内容

Sucuri 方面表示,修改 WordPress 网站内容时会产生一个修改数据包,攻击者通过 REST API 的构造数据包内容,将 URL 进行简单修改就可以绕过账号验证直接查看网站内容。此外还可以在未经身份验证的情况下任意增删改查文章、页面及其他内容。

据雷锋网(公众号:雷锋网)了解,存在问题的 REST API 自 WordPress 4.7 版本以来就被默认开启,因此所有使用 4.7 或 4.7.1 版本 Wordpress 的网站都将受到影响。这个漏洞影响范围有多广呢?据有关数据统计,全球至少有1800万个网站在使用 WordPress,在排名前一万的网站中,大约有26%的网站都在使用,相当于四个网站里就有一个在用,其普遍程度可想而知。

虽然至发文时,WordPress 的开发团队已经在最近推出的 4.7.2 版本更新中修补该漏洞,但可能仍有相当一部分网站没有开启自动更新,考虑到 WordPress 的使用者甚多,受影响的网站数量依然不容小觑。

为了防止漏洞被滥用,Sucuri 方面没有提供此漏洞的详尽技术细节,但其在博文中写道:

这一严重漏洞,使得攻击者可以利用多种不同的方法来搞定网站。如果网站安装了某个插件,可能导致RCE(远程命令执行)。总之大家赶紧更新就对了!

雷锋网在此建议广大使用 Wordpress 的网站管理员及个人博主,尽快升级到最新的4.7.2版本,否则很可能当你某一天醒过来时发现自己的网站已经被垃圾消息、赌博、色情广告等不良信息占据。

雷锋网

雷锋网原创文章,未经授权禁止转载。详情见转载须知

分享:
相关文章

文章点评:

表情

编辑

关注网络安全、黑客、白帽子那些事, 欢迎来聊聊你的故事。
当月热门文章
最新文章
请填写申请人资料
姓名
电话
邮箱
微信号
作品链接
个人简介
为了您的账户安全,请验证邮箱
您的邮箱还未验证,完成可获20积分哟!
请验证您的邮箱
立即验证
完善账号信息
您的账号已经绑定,现在您可以设置密码以方便用邮箱登录
立即设置 以后再说