Lucifaer's Blog.

Lucifaer's Blog.

Security Reseacher

WordPress REST API 内容注入

0x00 漏洞简述

1. 漏洞简介

REST API自动包含在Wordpress4.7以上的版本,WordPress REST API提供了一组易于使用的HTTP端点,可以使用户以简单的JSON格式访问网站的数据,包括用户,帖子,分类等。检索或更新数据与发送HTTP请求一样简单。上周,一个由REST API引起的影响WorePress4.7.04.7.1版本的漏洞被披露,该漏洞可以导致WordPress所有文章内容可以未经验证被查看,修改,删除,甚至创建新的文章,危害巨大。

2. 漏洞影响版本

  • WordPress4.7.0
  • WordPress4.7.1
CVE-2016-6483 vBulletin 5.2.2 SSRF漏洞

0x00 漏洞概述:

漏洞信息

vBulletin是一个商业论坛程序,它封装了自己的curl用于发出请求。近日研究人员发现在某些版本中其getlinkdata这项功能并没有对跳转进行检测和制止,从而导致SSRF漏洞的产生。

Lucifaer
祝这世界继续热闹
祝我仍是我