首页 > 安全 > 关键词 > Wordpress漏洞最新资讯 > 正文

WordPress 4.7.1 零日漏洞现身,分分钟改掉你的网站内容

2017-02-03 12:45 · 稿源:雷锋网

WordPress 最初一款个人博客系统,由于简单易用便逐渐发展成了内容管理系统,深受广大人民喜爱。

几天前,不少网站管理员发现自己的 WordPress 自动升级到了最新的 4.7.2 版本,正当许多人疑惑不解时,2月2日,安全公司 Sucuri 曝出 4.7 和 4.7.1 版本 WordPress 的 REST API (一种接口规范)存在零日漏洞,攻击者利用该漏洞可以任意修改网站内容。

Sucuri 方面表示,修改 WordPress 网站内容时会产生一个修改数据包,攻击者通过 REST API 的构造数据包内容,将 URL 进行简单修改就可以绕过账号验证直接查看网站内容。此外还可以在未经身份验证的情况下任意增删改查文章、页面及其他内容。

据小编()了解,存在问题的 REST API 自 WordPress 4.7 版本以来就被默认开启,因此所有使用 4.7 或 4.7.1 版本 Wordpress 的网站都将受到影响。这个漏洞影响范围有多广呢?据有关数据统计,全球至少有1800万个网站在使用 WordPress,在排名前一万的网站中,大约有26%的网站都在使用,相当于四个网站里就有一个在用,其普遍程度可想而知。

虽然至发文时,WordPress 的开发团队已经在最近推出的 4.7.2 版本更新中修补该漏洞,但可能仍有相当一部分网站没有开启自动更新,考虑到 WordPress 的使用者甚多,受影响的网站数量依然不容小觑。

为了防止该漏洞被滥用,Sucuri 方面没有提供次漏洞的详尽技术细节,但其在博文中写道:

这一严重漏洞,使得攻击者可以利用多种不同的方法来搞定网站。如果网站安装了某个插件,可能导致RCE(远程命令执行)。总之大家赶紧更新就对了!

小编在此建议广大使用 Wordpress 的网站管理员及个人博主,尽快升级到最新的4.7.2版本,否则很可能当你某一天醒过来时发现自己的网站已经被垃圾消息、赌博、色情广告等不良信息占据。

小编

,。

  • 相关推荐
  • 大家在看
  • 云安全日报200929:云计算热门语言Python发现注入漏洞,需要尽快升级

    Python是一种跨平台的计算机程序设计语言。它结合了解释性、编译性、互动性和面向对象的诸多特性,最初设计用于编写自动化脚本,然而随着版本的不断更新和语言新功能的添加,越多被用于独立的、大型项目的开发。近些年,Python尤其在云计算,人工智能(AI)领域,应用十分广泛。不过最近Python爆出了比较严重的注入漏洞,需要尽快升级。以下是漏洞详情:漏洞详情CVE ID: CVE-2020-26116 CVSS评分: 5.0 中Python http.client(Pytho

  • WordPress.com新功能:可将所有博文内容转换为推文

    今年早些时候通过推文风暴(tweetstorms)这种更轻松的方式,WordPress.com 宣布允许用户以“折叠”的方式将多条推文嵌入到博文中。今天 WordPress.com 再推出了双向通道,用户只需要轻松点击几下,就能将现有的 WordPress 博客文章转换为推文风暴。

  • 人事管理一般用什么管理系统?选择对了管理方便高效

    人事管理一般用什么管理系统?很多企业HR都在寻找适合自己企业的一套管理系统,但是在对比中越走越远;HR选择管理系统还是需要结合自身企业管理问题所在,当然小编也是建议能够寻找到一套系统多个功能使用,因为这样后期企业出现的管理问题基本可以靠一个平台就能完成了。随着企业的壮大,HR发现原有的人力资源管理方式已经跟不上企业发展速度,原本简单的算薪及考勤统计,无需花费过多时间就可以完成的日常事务,随着人员的扩张、

  • 研究人员担心BleedingTooth蓝牙漏洞给Linux系统带来风险

    基于Linux的操作系统通常被认为比Windows等系统更安全,但这并不意味着它们完全没有安全问题。谷歌安全研究人员已经对Linux蓝牙堆栈中的一系列"零点击"漏洞发出警告。该漏洞被称为BleedingTooth,最坏的后果是带来远程代码执行攻击。

  • 阿里云为宜家打造智能客户身份管理系统

    13日,记者从阿里云获悉,为宜家打造智能客户身份管理系统已经上线。这意味着宜家数字化转型完成关键一步,线下线上数据资源将可以同步运营。2019年8月底,宜家中国宣布全新的“未来+”战略,首次决定采用数字化和全渠道发展。在转型过程中,宜家面临的一大问题是原有的线下客户身份管理系统不支持社交平台登陆,使得线上线下两个系统的摩擦问题凸显,也同时带来数据割裂问题。阿里云方面介绍,?

  • Twitter确认宕机,但没有证据表明存在网络攻击或安全漏洞

    据外媒报道,日前,许多Twitter用户突然无法访问该服务平台。虽然老Twitter用户还记得这个社交媒体网站的“failwhale(故障的鲸鱼)”经常出现的时候,但现阶段它通常是稳定的,最近一次重大问题则是因7月份的安全漏洞而出现过。

  • 谷歌和英特尔警告Linux中存在高严重的蓝牙安全漏洞

    谷歌和英特尔警告说,除了最新版本的Linux内核外,其他所有版本的Linux内核都存在高严重性蓝牙漏洞。谷歌的一位研究人员表示,该漏洞允许攻击者在蓝牙范围内无缝执行代码,而英特尔则将该漏洞定性为提供特权升级或信息泄露。

  • 赶紧更新!Firefox漏洞允许攻击者在同一WiFi劫持移动浏览器

    Mozilla已经修复了一个漏洞,攻击者可以使用该漏洞在同一个WiFi网络上劫持所有安卓版火狐浏览器,迫使用户访问恶意网站,比如钓鱼网页。

  • 微软已修复Windows安装过程中的权限提升安全漏洞

    在WindowsSetup中存在一个安全漏洞,即安装操作系统功能更新时的过程中可使得经过本地认证的攻击者有可能利用提升的系统权限运行任意代码。该漏洞(CVE-2020-16908)可被利用来安装软件、创建新用户账户或干扰数据。

  • Linux 5.9.1以及部分旧版稳定内核已解决 "Bleeding Tooth"漏洞问题

    Linux5.9正式发布刚过去一周,修正版本的内核5.9.1就已经跟随而来,让这个稳定版本更值得关注的是包括了本周被Google与英特尔的安全人员公开及警告的"BleedingTooth"蓝牙漏洞的修复。BleedingTooth是一个影响Linux的远程代码执行漏洞,源于L2CAP代码中基于堆的类型混乱。

  • [图]微软发布两个紧急安全更新:修复远程代码执行漏洞

    今天微软发布了两个不定期的例外(Out-of-Band)安全更新,重点修复了WindowsCodecs库和VisualStudioCode应用中的安全问题。这两个例外安全更新是本月补丁星期二活动日之后再发布的,主要修复了两款产品中的“远程代码执行”漏洞,能够让攻击者在受影响的设备上远程执行代码。

  • 美国土安全部发布紧急警告:Windows服务器存在“严重”漏洞

    美国国土安全部网络安全与基础设施安全局(CISA)发布了一项罕见的紧急指令,敦促政府机构为Windows服务器的一个“关键”漏洞安装补丁,该漏洞被安全机构称为Zerologon。

  • 智邦国际工业企业数字化管理系统:一套系统实现N种智造

    从大批量生产到大规模定制,从传统制造到智能制造,数字化变革如火如荼。但纵观很多工业企业,仍在依靠手工、纸质、表格等作业。生产环节那么多,信息无法共享,时效性差,准确率低,企业无论内外不能实时通信和响应,经常陷入被动和失控的困境。与此同时,原料、人工、物流等成本攀升,客户对质量、交付和服务的要求也在不断提升,竞争日趋激烈,利润越来越薄……向数字化管理转型,用新技术、新模式打造新竞争力,实现客户、生产、服务等实时连

  • 要升级!微软发布Edge浏览器稳定版 修复诸多严重安全漏洞

    作为全球市场份额第二大的浏览器,Edge最近也引起了很多用户的吐槽,主要是微软在Windows 10更新中进行了强制安装,这带来了很不好的体验。现在,微软面向Windows和macOS平台发布了基于Chromi

  • 被美安全部警告后 微软修复Windows严重漏洞:3秒能攻破设备

    也许是漏洞真的是太要命了,微软已经第一时间对其进行了修复,其已经要求客户尽快修复Zerologon漏洞。在 Zerologon 漏洞开始疯狂传播之后,美国国土安全局责令政府网络管理员责令政府网络管理

  • 云安全日报200924:Linux内核发现最高系统特权升级漏洞,需要尽快升级

    9月23日,openwall邮件组发布了有关Linux内核特权升级漏洞的风险通知。该漏洞级别为高风险,因为该漏洞存在于内核中,所以如果成功利用该漏洞,将直接获得最高的系统特权。此漏洞带来的最大威胁是对数据机密性和完整性以及系统可用性的威胁。以下是漏洞详情:漏洞详情CVE-2020-14386 CVSS评分:7.8 严重程度:高该漏洞级别为高风险,本地攻击者可以通过向受影响的主机发送特制的请求内容来导致特权升级。因为该漏洞存在于内核(Ke

  • 抗疫助学 桃李云帮免费为民办教育机构提供学校管理系统

    教育培训行业今年受新冠疫情影响,很多培训机构都陷入暂时的发展困境,虽然现已进入全面复工复学阶段,教育培训机构压力得到一定的缓解,但从长远来看,教培行业机构想要稳步发展,只有创新教育新形态,找到新的业务增长点。传统教育培训行业常常面临以下问题。1、每到招生之际,花费大量金钱时间在外请人制作招生宣传海报,效果却不尽人意。2、每天花费大量的时间用在了学校和家长的沟通上,导致精力分散,主业荒废。3、因缺乏便?

  • 3秒攻破设备:Windows存在严重漏洞 美安全部紧急警告通知微软

    据外媒报道称,美国土安全部网络安全顾问组罕见地向政府部门发布了紧急警报,因为Windows存在“严重”漏洞。报道中提到,美网络安全与基础设施安全局(CISA)于当地时间周五晚间发布警

  • 英国更新交规修补漏洞 进一步禁止开车时触碰手机

    英国政府正在更新有关驾驶时使用移动设备的法律,堵塞使一些iPhone用户仍能在驾驶时使用智能手机拍摄视频等功能的漏洞。英国和其他许多国家一样制订了法律,试图防止司机在开车时使用智能手机和其他设备,以尽量减少分心。虽然现有的法律有助于减少手机的使用,但由于法律的措辞不尽完善,仍有一些人设法逃脱制裁。

  • Epic收回漏洞领取的看门狗2 Epic关于看门狗2回收公告

    2020年9月23日的晚上,Epic商城宣布将不得不陆续回收国区账号中利用漏洞领取的《看门狗2》,此前有大量玩家通过更改国家和地区的操作进行领取,这次要收回了,一些小伙伴还不清楚具体的情况,下面就来为大家分享一下Epic的公告。

  • 参与评论
文明上网理性发言,请遵守新闻评论服务协议
  • 热门标签