CVE-2017-5487 취약점에 비해 크리티컬하다고 느껴지는 취약점이다. 한번 Araboza 1. CVE-2017-1001000 이 취약점은 타인의 글을 열람,수정,삭제가 가능한 취약점이다. WordPress 4.7.0, 4.7.1 에서만 가능한 취약점이라고 한다. 사실 아래 블로그가 정리가 잘되어있어서 밑에보고 하면 되겠다. ㅎㅎ https://securitynote.tistory.com/37 [기타] 워드프레스 REST API 취약점(Content Injection) 이전 포스팅에서 워드프레스 REST API 취약점에 대해 다룬적이 있다. (http://securitynote.tistory.com/35) CVE-2017-5487 취약점에서는 위험도가 별로 높지 않아 별다른 중요성을 못느꼈는데 이번에..

"중요정보 노출"과 거창하게 CVE 번호가 있지만 사실 취약한지 잘 모르겠는 취약점. 그래서 기록해 둘까 말까 하다가 점검사이트중에 해당 취약점이 있는 사이트가 있었는데 취약 url에서 얻은 정보를 바탕으로 취약점을 만들어서 보고서를 썼어서 기록하기로 했다. 우선 해당 취약점 부터 알아보자. 1. CVE-2017-5487 우선 이 취약점은 중요정보 노출이라는 내용을 담고 있다. 워드 프레스로 만들어진 웹 페이지 중 취약한 사이트는 사이트/wp-json/wp/v2/users/ 로 들어가면 사용자 리스트가 나온다. 사이트에 따라 사이트?rest_route=/wp/v2/users/로 접근 하는곳도 있음 * 워드 프레스로 만들어진 웹 페이지 확인법은 개발자 도구에서 wordpress라는 단어가 있거나 "wp" ..