今天才知道有这么一个漏洞,WordPress 4.7.1 零日漏洞,前几天无作为的网站第一篇帖子被篡改了,本来是分享无作为引导页源码,结果一看,文章被改了,表示很懵逼,后台其他东西都没有改,偏偏这篇文章被修改了,![图片[1]|WordPress 4.7.1 零日漏洞现身|无作为](https://image.baidu.com/search/down?url=https://tva1.sinaimg.com/mw690/d83cce73gy1fclhc8bk5bj20lr0b9gmc.jpg)
WordPress4.7 和 4.7.1 版本 的 REST API (一种接口类型)存在零日漏洞,攻击者利用该漏洞可以任意修改网站第一篇文章内容。
修改 WordPress 网站内容时会产生一个修改数据包,攻击者通过 REST API 的构造数据包内容,将 URL 进行简单修改就可以绕过账号验证直接查看网站内容。此外还可以在未经身份验证的情况下任意增删改查文章、页面及其他内容。
据了解,存在问题的 REST API 自 WordPress 4.7 版本以来就被默认开启,因此所有使用 4.7 或 4.7.1 版本 WordPress 的网站都将受到影响。
虽然它作为零日漏洞。传播不是特别广泛,但是已经有一些人再利用这个漏洞搞事儿了!
无作为就中招了,表示解决方法有两种:
第一:没有升级的小伙伴赶紧升级吧,现在已经出了4.7.2了,升级就没事了,
第二:就是别升级到4.7,因为WordPress4.7新增了很多的api手机接口,确实没什么用对于普通站长来说。
文章转自:feeey
© 版权声明
文章版权归作者所有,未经允许请勿转载。
THE END
暂无评论内容