Kritische Sicherheitslücke in WordPress REST API

Dieses Thema im Forum "Netzwelt" wurde erstellt von raid-rush, 3. Februar 2017 .

  1. 3. Februar 2017
    Das WP 4.7.2 Update schließt eine kritische Lücke im CMS - das Ausmaß wurde von den Entwicklern absichtlich verharmlost, um Anwendern mehr Zeit zum Patchen zu geben.

    Die Lücke steckt in dem seit Version 4.7 eingeführten WordPress REST API. Dieses API ist standardmäßig aktiviert und lässt sich aus dem Admin-Interface nicht mehr abschalten. Da die WordPress-Entwickler bei der Validierung von Eingaben an das API unsauber waren, sind alle Installationen von WordPress 4.7 und 4.7.1 angreifbar. Mit einfachen JSON-Anfragen kann bei diesen Versionen Jeder "remote" übers Netz WordPress-Seiten manipulieren.

    Wer auf die API verzichten kann, dem ist auch schnell mit einem Plugin geholfen welches die WordPress REST API deaktiviert und damit auch bei möglichen zukünftige Lücken in der API geschützt ist.

    Die Lücke ist brisant und sollte schnellst möglich geschlossen werden!


    Quelle: https://blog.sucuri.net/2017/02/content-injection-vulnerability-wordpress-rest-api.html
     
  2. 9. Februar 2017
    AW: Kritische Sicherheitslücke in WordPress REST API

    Ich nutze Joomla aber da gibts bestimmt bald auch was.
     
  3. Video Script

    Videos zum Themenbereich

    * gefundene Videos auf YouTube, anhand der Überschrift.