WordPress REST API 内容注入/权限提升漏洞

wordpress 是一个以 php 和 mysql 为平台的自由开源的博客软件和内容管理系统，至少有 1800 万个网站使用该系统。在 4.7.0 版本后，rest api 插件的功能被集成到 wordpress 中，由此也引发了一些安全性问题。

wordpress rest api 内容注入/权限提升漏洞于 1 月 22 日被安全公司 sucuri 研究员 marc-alexandre montpas 发现并告知 wordpress 。经过 wordpress 紧急修复,于 1 月 26 日发布安全更新。

漏洞编号：暂无

官方评级：高危

漏洞描述：

wordpress 在 4.7.0 版本后集成了原 rest api 插件的功能，并默认启用，设置为非plain模式，使用 wordpress 程序的网站首页上会有：

通过该api的get和post请求，未经授权的攻击者利用该漏洞可注入恶意内容，以及进行提权，对文章、页面等内容进行修改，严重情况下，可以出现敏感数据泄露。