WordPress 4.7.1 零日漏洞曝光小伙伴们可要小心了

虫子君
虫子君
虫子君
390
文章
166
评论
2017.2. 515:15:21 评论 149 671字阅读2分14秒

几天前,不少网站管理员发现自己的 WordPress 自动升级到了最新的 4.7.2 版本,正当许多人疑惑不解时,2月2日,安全公司 Sucuri 曝出 4.7 和 4.7.1 版本 WordPress 的 REST API (一种接口规范)存在零日漏洞,攻击者利用该漏洞可以任意修改网站内容。

WordPress 4.7.1 零日漏洞现身,分分钟改掉你的网站内容Sucuri 方面表示,修改 WordPress 网站内容时会产生一个修改数据包,攻击者通过 REST API 的构造数据包内容,将 URL 进行简单修改就可以绕过账号验证直接查看网站内容。此外还可以在未经身份验证的情况下任意增删改查文章、页面及其他内容。

据肉球菌了解,存在问题的 REST API 自 WordPress 4.7 版本以来就被默认开启,因此所有使用 4.7 或 4.7.1 版本 WordPress 的网站都将受到影响。这个漏洞影响范围有多广呢?据有关数据统计,全球至少有1800万个网站在使用 WordPress,在排名前一万的网站中,大约有26%的网站都在使用,相当于四个网站里就有一个在用,其普遍程度可想而知。

虽然至发文时,WordPress 的开发团队已经在最近推出的 4.7.2 版本更新中修补该漏洞,但可能仍有相当一部分网站没有开启自动更新,考虑到 WordPress 的使用者甚多,受影响的网站数量依然不容小觑

文章转载自:雷锋网

部分网站出现不会自动更新的情况,可以参考肉球菌写的这篇文章手工更新wordpress程序:

wordpress主题升级(安装)的多种方法

另外在附带一个新版的更新包,由于官网的下载比较慢,肉球菌权当做是方便大家。

[button]wordpress 4.7.2[/button]

虫子君
  • 版权声明: 发表于 2017.2. 515:15:21
  • 转载注明:https://chonzi.com/3083.html
匿名

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: