WordPress 4.7.1 曝零日漏洞 绕开登陆瞬间修改你网站内容!

WordPress 4.7.1 曝零日漏洞 绕开登陆瞬间修改你网站内容!

2017年2月6日 16:28 数码科技
0 4
京东CEO刘强东做客央视2套《遇见大咖》纪录片专访!
315要来了!网易悄悄关停一元夺宝!

WordPress 4.7.1 曝零日漏洞 绕开登陆瞬间修改你网站内容!

昨日在雷锋网看到一则消息(原文地址),文章称前不久发布的WordPress 4.7.1在2月2日安全公司 Sucuri 曝出 4.7 和 4.7.1 版本 WordPress 的 REST API (一种接口规范)存在零日漏洞,攻击者利用该漏洞可以任意修改网站内容。

看到这则吓得小编赶紧喝了一瓶营养快线!事不赶巧今天浏览一个朋友网站的时候,就发现网站遇到了被零日漏洞利用情况了,网站的第一篇文章内容文章标题和内容均被修改为hacked-by-ng689skw,现在在百度上搜索hacked-by-ng689skw也会出现很多相关关键词,可见影像范围还是比较大的!

一位被漏洞利用的站长报告:https://wordpress.org/support/topic/wordpress-4-7-1-hacked-by-ng689skw/

WordPress 4.7.1 曝零日漏洞 绕开登陆瞬间修改你网站内容!

Sucuri 方面表示,修改 WordPress 网站内容时会产生一个修改数据包,攻击者通过 REST API 的构造数据包内容,将 URL 进行简单修改就可以绕过账号验证直接查看网站内容。此外还可以在未经身份验证的情况下任意增删改查文章、页面及其他内容。

据雷锋网了解,存在问题的 REST API 自 WordPress 4.7 版本以来就被默认开启,因此所有使用 4.7 或 4.7.1 版本 WordPress 的网站都将受到影响。这个漏洞影响范围有多广呢?据有关数据统计,全球至少有1800万个网站在使用 WordPress,在排名前一万的网站中,大约有26%的网站都在使用,相当于四个网站里就有一个在用,其普遍程度可想而知。

虽然至发文时,WordPress 的开发团队已经在最近推出的 4.7.2 版本更新中修补该漏洞,但可能仍有相当一部分网站没有开启自动更新,考虑到 WordPress 的使用者甚多,受影响的网站数量依然不容小觑。

为了防止漏洞被滥用,Sucuri 方面没有提供此漏洞的详尽技术细节,但其在博文中写道:

这一严重漏洞,使得攻击者可以利用多种不同的方法来搞定网站。如果网站安装了某个插件,可能导致RCE(远程命令执行)。总之大家赶紧更新就对了!

总之现在还在使用WordPress 4.7.1的站长,尽快升级到最新的4.7.2版本,否则很可能当你某一天醒过来时发现自己的网站已经被垃圾消息、赌博、色情广告等不良信息占据哦。

文章总数
2237+
标签总数
1965+
评论总数
11756+
运营天数
1161+