Szczegółowe informacje opodatności znajdziemy na blogu Sucuri.net. Mówiąc w skrócie,popełniono błąd związany z rzutowaniem zmiennych w PHP, któryumożliwia napastnikowi obejście metody sprawdzającej, czyużytkownik ma uprawnienia do edycji wpisu. Jeśli zna onidentyfikator (ID), może przekazać spreparowane żądanie w postacinp. /wp-json/wp/v2/posts/123?id=456ABC, by zmienić wpis o ID 456.
W metodzie dochodzi bowiem w pewnym momencie do żonglowania typemprzekazywanej zmiennej, WordPress zamienia parametr ID w liczbęcałkowitą przed przekazaniem jej do metody pobrania wpisu.Napastnik może wówczas nie tylko zmienić zawartość witryny, aleteż dodać do niej skróty kodowe (shortcodes), by wykorzystaćsłabości znanych zainstalowanych wtyczek, a nawet uruchomić własnykod PHP.
Wygląda na to, że taką próbę ataku przeprowadzają jużzautomatyzowane boty, więc pewnie sporo witryn w Sieci już mogłozostać przejętych. Zalecamy więc zaktualizowanie WordPressa dowersji 4.7.2, tymbardziej, że gotowyexploit już jest dostępny dla każdego script-kiddie. Apo zaktualizowaniu – zainstalowanie wtyczki DisableREST API, która zmniejszy powierzchnię ataku. Kto wie, ilebłędów w WordPressie jeszcze będzie?