WordPress 4.7.1 零日漏洞現(xiàn)身，分分鐘改掉你的網(wǎng)站內(nèi)容

WordPress 最初一款個(gè)人博客系統(tǒng)，由于簡單易用便逐漸發(fā)展成了內(nèi)容管理系統(tǒng)，深受廣大人民喜愛。

幾天前，不少網(wǎng)站管理員發(fā)現(xiàn)自己的 WordPress 自動(dòng)升級到了最新的 4.7.2 版本，正當(dāng)許多人疑惑不解時(shí)，2月2日，安全公司 Sucuri 曝出 4.7 和 4.7.1 版本 WordPress 的 REST API （一種接口規(guī)范）存在零日漏洞，攻擊者利用該漏洞可以任意修改網(wǎng)站內(nèi)容。

Sucuri 方面表示，修改 WordPress 網(wǎng)站內(nèi)容時(shí)會(huì)產(chǎn)生一個(gè)修改數(shù)據(jù)包，攻擊者通過 REST API 的構(gòu)造數(shù)據(jù)包內(nèi)容，將 URL 進(jìn)行簡單修改就可以繞過賬號驗(yàn)證直接查看網(wǎng)站內(nèi)容。此外還可以在未經(jīng)身份驗(yàn)證的情況下任意增刪改查文章、頁面及其他內(nèi)容。

據(jù)雷鋒網(wǎng)了解，存在問題的 REST API 自 WordPress 4.7 版本以來就被默認(rèn)開啟，因此所有使用 4.7 或 4.7.1 版本 Wordpress 的網(wǎng)站都將受到影響。這個(gè)漏洞影響范圍有多廣呢？據(jù)有關(guān)數(shù)據(jù)統(tǒng)計(jì)，全球至少有1800萬個(gè)網(wǎng)站在使用 WordPress，在排名前一萬的網(wǎng)站中，大約有26%的網(wǎng)站都在使用，相當(dāng)于四個(gè)網(wǎng)站里就有一個(gè)在用，其普遍程度可想而知。

雖然至發(fā)文時(shí)，WordPress 的開發(fā)團(tuán)隊(duì)已經(jīng)在最近推出的 4.7.2 版本更新中修補(bǔ)該漏洞，但可能仍有相當(dāng)一部分網(wǎng)站沒有開啟自動(dòng)更新，考慮到 WordPress 的使用者甚多，受影響的網(wǎng)站數(shù)量依然不容小覷。

為了防止漏洞被濫用，Sucuri 方面沒有提供此漏洞的詳盡技術(shù)細(xì)節(jié)，但其在博文中寫道：

這一嚴(yán)重漏洞，使得攻擊者可以利用多種不同的方法來搞定網(wǎng)站。如果網(wǎng)站安裝了某個(gè)插件，可能導(dǎo)致RCE（遠(yuǎn)程命令執(zhí)行）?？傊蠹亿s緊更新就對了！雷鋒網(wǎng)(公眾號：雷鋒網(wǎng))在此建議廣大使用 Wordpress 的網(wǎng)站管理員及個(gè)人博主，盡快升級到最新的4.7.2版本，否則很可能當(dāng)你某一天醒過來時(shí)發(fā)現(xiàn)自己的網(wǎng)站已經(jīng)被垃圾消息、賭博、色情廣告等不良信息占據(jù)。

生成海報(bào)

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請進(jìn)一步核實(shí)，并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。