Обнаружена опасная уязвимость WordPress (CVE-2017-5487) в версиях 4.7.0; 4.7.1. которая позволяет неавторизованному пользователю изменять содержание любой записи или страницы сайта под управлением WordPress.

Для успешной атаки злоумышленник POST запросом получает список всех записей на сайте жертвы, (http://example.com/index.php/wp-json/wp/v2/posts/), далее выбирает любую запись, и без каких либо препятствий может изменять всю содержащуюся в нем информацию.

Пример эксплуатации в формате переменных POST

POST: http://example.com/index.php/wp-json/wp/v2/posts/155
post[id] = 155
post[title] = Hack
post[content] = Hack

Если все было сделано правильно, то содержимое поста с указанным post[id] заменяется контентом злоумышленника. Сам по себе, запрос может передаваться в двух вариантах: переменных POST или формате json.

Пример эксплуатации в формате json

POST: http:// example.com /index.php/wp-json/wp/v2/posts/155
{ id:”1955”, title:”Hack”, content:”Hack” }

Серьезность данной уязвимости предает то, что таким образом можно внедрить код, спам-ссылки и т.д. Если WordPress использует установленные плагины есть возможность выполнить удаленное исполнение кода.

Использование Web Application Firewall позволяет блокировать подобные атаки.