漏洞信息(CVE-2017-5487)

一、漏洞 CVE-2017-5487 基础信息

漏洞标题

N/A

来源：AIGC 神龙大模型

漏洞描述信息

在WordPress 4.7.1之前的4.7.1版本中，wp-includes/rest-api/endpoints/class-wp-rest-users-controller.php 函数并未正确限制帖子作者的列出，这允许远程攻击者通过 wp-json/wp/v2/users 请求获取敏感信息。

来源：AIGC 神龙大模型

CVSS信息

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N

来源：AIGC 神龙大模型

漏洞类别

N/A

来源：AIGC 神龙大模型

漏洞标题

N/A

来源：美国国家漏洞数据库 NVD

漏洞描述信息

wp-includes/rest-api/endpoints/class-wp-rest-users-controller.php in the REST API implementation in WordPress 4.7 before 4.7.1 does not properly restrict listings of post authors, which allows remote attackers to obtain sensitive information via a wp-json/wp/v2/users request.

来源：美国国家漏洞数据库 NVD

CVSS信息

N/A

来源：美国国家漏洞数据库 NVD

漏洞类别

N/A

来源：美国国家漏洞数据库 NVD

漏洞标题

WordPress 安全漏洞

来源：中国国家信息安全漏洞库 CNNVD

漏洞描述信息

WordPress是WordPress软件基金会的一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。 WordPress中的REST API实现过程中的wp-includes/rest-api/endpoints/class-wp-rest-users-controller.php文件存在安全漏洞。远程攻击者可通过向wp-json/wp/v2/users发送请求利用该漏洞获取敏感信息。

来源：中国国家信息安全漏洞库 CNNVD

CVSS信息

N/A

来源：中国国家信息安全漏洞库 CNNVD

漏洞类别

信息泄露

来源：中国国家信息安全漏洞库 CNNVD

二、漏洞 CVE-2017-5487 的公开POC

#	POC 描述	源链接	神龙链接
1	Wordpress Username Enumeration /CVE-2017-5487,WordPress < 4.7.1 -	https://github.com/teambugsbunny/wpUsersScan	POC详情
2	Wordpress Username Enumeration /CVE-2017-5487,WordPress < 4.7.1 -	https://github.com/R3K1NG/wpUsersScan	POC详情
3	POC of CVE-2017-5487 + tool	https://github.com/GeunSam2/CVE-2017-5487	POC详情
4	WordPress CVE-2017-5487 Exploit in Python	https://github.com/patilkr/wp-CVE-2017-5487-exploit	POC详情
5	None	https://github.com/zkhalidul/GrabberWP-CVE-2017-5487	POC详情
6	This is a vulnerability in the Linux kernel that was discovered and disclosed in 2017.	https://github.com/SeasonLeague/CVE-2017-5487	POC详情
7	None	https://github.com/Ravindu-Priyankara/CVE-2017-5487-vulnerability-on-NSBM	POC详情
8	A PoC exploit for CVE-2017-5487 - WordPress User Enumeration.	https://github.com/K3ysTr0K3R/CVE-2017-5487-EXPLOIT	POC详情
9	wp-includes/rest-api/endpoints/class-wp-rest-users-controller.php in the REST API implementation in WordPress 4.7 before 4.7.1 does not properly restrict listings of post authors, which allows remote attackers to obtain sensitive information via a wp-json/wp/v2/users request.	https://github.com/Jhonsonwannaa/CVE-2017-5487	POC详情
10	wp-includes/rest-api/endpoints/class-wp-rest-users-controller.php in the REST API implementation in WordPress 4.7 before 4.7.1 does not properly restrict listings of post authors, which allows remote attackers to obtain sensitive information via a wp-json/wp/v2/users request.	https://github.com/dream434/CVE-2017-5487	POC详情
11	cve-2017-5487 wp rest api 취약점	https://github.com/chihyeonwon/cve-2017-5487	POC详情
12	cve-2017-5487 wp rest api 취약점	https://github.com/mr-won/cve-2017-5487	POC详情
13	cve-2017-5487 wp rest api 취약점	https://github.com/user20252228/cve-2017-5487	POC详情

三、漏洞 CVE-2017-5487 的情报信息

https://wpvulndb.com/vulnerabilities/8715 x_refsource_MISC
https://codex.wordpress.org/Version_4.7.1 x_refsource_CONFIRM
https://github.com/WordPress/WordPress/commit/daf358983cc1ce0c77bf6d2de2ebbb43df2add60 x_refsource_CONFIRM
https://www.wordfence.com/blog/2016/12/wordfence-blocks-username-harvesting-via-new-rest-api-wp-4-7/ x_refsource_MISC
https://wordpress.org/news/2017/01/wordpress-4-7-1-security-and-maintenance-release/ x_refsource_CONFIRM
https://www.exploit-db.com/exploits/41497/ exploit x_refsource_EXPLOIT-DB
http://www.securityfocus.com/bid/95391 vdb-entry x_refsource_BID
http://www.securitytracker.com/id/1037591 vdb-entry x_refsource_SECTRACK
http://www.openwall.com/lists/oss-security/2017/01/14/6 mailing-list x_refsource_MLIST
https://nvd.nist.gov/vuln/detail/CVE-2017-5487

一、 漏洞 CVE-2017-5487 基础信息

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

二、漏洞 CVE-2017-5487 的公开POC

三、漏洞 CVE-2017-5487 的情报信息

一、漏洞 CVE-2017-5487 基础信息