WordPress REST API 输入验证漏洞

QQ空间 新浪微博 微信 QQ facebook twitter
漏洞ID 1140567 漏洞类型 权限许可和访问控制问题
发布时间 2017-04-07 更新时间 2019-10-23
CVE编号 CVE-2017-1001000 CNNVD-ID CNNVD-201704-186
漏洞平台 N/A CVSS评分 5.0
|漏洞来源
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201704-186
|漏洞详情
WordPress是WordPress软件基金会的一套使用PHP语言开发的博客平台,该平台支持在PHP和MySQL的服务器上架设个人博客网站。REST API是其中的一个用于操作其它API界面的插件。 WordPress 4.7.2之前的4.7.x版本的REST API的wp-includes/rest-api/endpoints/class-wp-rest-posts-controller.php文件的‘register_routes’参数存在安全漏洞,该漏洞源于程序没有要求整数标识符。远程攻击者可利用该漏洞更改任意页面。
|参考资料

来源:MLIST
链接:http://www.openwall.com/lists/oss-security/2017/02/10/16
来源:MISC
链接:https://blog.sucuri.net/2017/02/content-injection-vulnerability-wordpress-rest-api.html
来源:MISC
链接:https://blogs.akamai.com/2017/02/wordpress-web-api-vulnerability.html
来源:CONFIRM
链接:https://codex.wordpress.org/Version_4.7.2
来源:MISC
链接:https://gist.github.com/leonjza/2244eb15510a0687ed93160c623762ab
来源:CONFIRM
链接:https://github.com/WordPress/WordPress/commit/e357195ce303017d517aff944644a7a1232926f7
来源:CONFIRM
链接:https://make.wordpress.org/core/2017/02/01/disclosure-of-additional-security-fix-in-wordpress-4-7-2/
来源:CONFIRM
链接:https://wordpress.org/news/2017/01/wordpress-4-7-2-security-release/