• 【漏洞预警】Wordpress 内容注入漏洞

    2017-02-18 北京白帽汇科技有限公司

    2017年2月1日Wordpress系统被曝出内容注入漏洞,该漏洞可以导致网站被黑。

    2017年2月1日Wordpress系统被曝出内容注入漏洞,该漏洞可以导致攻击者在未验证的情况下修改任意文章或者页面内容,导致网站被黑。第一时间了解漏洞预警,请访问NOSEC威胁情报——https://nosec.org/my/threats/list

    WordPress是一种使用PHP语言开发,全球流行的一款CMS系统,根据白帽汇FOFA系统统计,目前,全球共有560万个Wordpress构建的网站,中国地区有5万。截止目前全球受影响范围为14813个。其中美国受影响最严重,共有3608个。

    全球Wordpress网站总数(数据来自FOFA Pro).png

    全球Wordpress网站总数(数据来自FOFA Pro)

    漏洞原理与危害

    在Wordpress4.7.0版本以后,REST API插件集成到Wrodpress系统中,为系统默认支持的功能,并默认开启。通过REST API可以对文章进行,增加,修改,删除,查看文章操作。在REST API中存在未验证访问bug,引发漏洞,导致任何人可以修改Wordpress的任意文章内容或页面。

    漏洞影响

    影响的Wordpress版本

    4.7.0和4.7.1

    影响范围

    白帽汇第一时间对漏洞进行复现,在FOFA客户端的在线商城中也已经有相应漏洞扫描代码,用户可对该PoC进行购买。白帽汇对全球现有超过560万的Wordpress网站(网站分布情况,非漏洞影响情况)。其中国内有5万个。截止目前全球受影响范围为14813个。其中美国受影响最严重,共有3608个。第二是德国,共有798个,第三是荷兰,共有611个。

    Wordpress内容注入漏洞的全球分布图(数据来自FOFA Pro).png

    Wordpress内容注入漏洞的全球分布图(数据来自FOFA Pro)

    国内浙江省最多,共有62个。北京第二,共有15个,山东第三,共有8个。

    Wordpress内容注入漏洞的中国分布图(数据来自FOFA Pro).png

    Wordpress内容注入漏洞的中国分布图(数据来自FOFA Pro)

    在此次的扫描中我们发现,目前互联网中已经有大量的Wordpress网站受害,并有多个攻击者,受害网站截图其中之一如下:

    wordpress-been-hacked-website.pngwordpress-been-hacked-website2.png

    在zone-h网站也有相关统计。

    wordpress-been-hacked-websites-zhone.org-.png

    zone-h上被黑Wordpress站点清单

    CVE编号

    修复建议

    1、 升级到最新的4.7.2版本。下载地址:

    https://github.com/WordPress/WordPress/releases/tag/4.7.2 

    白帽汇会持续对该漏洞进行跟进。请关注链接

    https://nosec.org/?token=5shz85nogl 

    参考

    [1] https://blog.sucuri.net/2017/02/content-injection-vulnerability-wordpress-rest-api.html 

    [2] https://www.exploit-db.com/exploits/41223/ 

    [3] https://www.exploit-db.com/exploits/41224/ 

北京白帽汇科技有限公司
服务热线:400-650-2031
联系邮箱:service@baimaohui.net
媒体联络:PR@baimaohui.net
地址:北京顺义区后沙峪国门一号
产品
FOFA
NOSEC
FOEYE
信息
最新资讯
反馈
FAQ
版权所有 © 北京白帽汇科技有限公司 2016. All Rights Reserved 京ICP备15042518号