WordPress是世界上最流行的内容管理系统(CMS),有数百万网站在使用。近来发布的WordPress 4.7.0默认添加并启用了REST API。近日,来自Sucuri的研究人员发现WordPress存在重大零日漏洞,漏洞在于Wordpress REST API,该漏洞可导致产生新的漏洞,从而使攻击者可针对未打补丁的网站删除页面或修改任何页面,或将访问者重定向到恶意利用或大量攻击。
Sucuri跟踪到了四个不同的篡改攻击,第一个攻击是在漏洞披露后不到48小时进行的。在其中的一个攻击中,攻击者将6万个网页的内容替换为了“Hacked by”消息,另外三个攻击瞄准了大约500个网页。
除网站篡改外,此类攻击似乎主要是为黑帽SEO进行的,目的是传播垃圾邮件和在搜索引擎中获得排名,这也称为搜索引擎中毒。
Sucuri的安全研究员将此漏洞私下披露给了WordPress,为了确保数百万网站及其用户的安全,WordPress推迟一周多才将该漏洞公之于众,并立即采取行动安装补丁。WordPress发布新版本后默认会自动更新,但有些管理员禁用了此功能,未能及时安装补丁,才让攻击者有机可乘。在此催促管理员尽快将WordPress升级到4.7.2版。
京公网安备 11010502049343号