Accunetix aplikasi web perusahaan keamanan melaporkan kerentanan ditemukan dalam fitur Pingback Wordpress. Menurut laporan, kerentanan Pingback ada dalam platform blogging WordPress yang bisa membocorkan informasi dan menyebabkan penolakan didistribusikan layanan (DDoS) serangan.
"WordPress memiliki API XMLRPC yang dapat diakses melalui file xmlrpc.php Ketika WordPress adalah pengolahan pingbacks, itu mencoba untuk menyelesaikan URL sumber,. Dan jika berhasil, akan membuat permintaan untuk URL itu dan memeriksa respon untuk link ke a WordPress tertentu posting blog. Jika menemukan link tersebut, maka akan mengirim komentar pada posting blog ini mengumumkan bahwa seseorang disebutkan ini posting blog di blog mereka. "Bogdan Calin menjelaskan.
Pingback adalah satu dari tiga jenis linkbacks, metode untuk penulis Web untuk meminta pemberitahuan ketika seseorang link ke salah satu dari dokumen mereka. Hal ini memungkinkan penulis untuk melacak siapa yang terhubung ke, atau mengacu pada artikel mereka. Beberapa perangkat lunak weblog, seperti Movable Type, Serendipity, WordPress, dan Komunitas telligent, mendukung pingbacks otomatis di mana semua link dalam sebuah artikel yang diterbitkan dapat ping saat artikel ini diterbitkan.
Sebuah alat baru telah dirilis yang mengotomatisasi kerentanan pingback mandiri, didistribusikan pada Github pengembangan perangkat lunak situs sebagai "WordpressPingbackPortScanner". Bahwa alat mengekspos API dan memungkinkan penyerang memindai host lain, beberapa Wordpress blog dan dengan URL khusus, router mengkonfigurasi ulang.
Alat description - "Wordpress mengekspos API Pingback disebut untuk link ke blogposts lain Menggunakan fitur ini Anda dapat memindai host lain di internet intra-atau melalui server ini Anda juga dapat menggunakan fitur ini untuk beberapa jenis port scanning terdistribusi: Kamu.. dapat memindai sebuah host menggunakan Blog Wordpress beberapa mengekspos API ini. "
Bug tersebut sudah dilaporkan di Wordpress community, tapi notice Softpedia bahwa tiket tersebut ditutup pada saat setelah seseorang berpendapat bahwa "ada begitu banyak cara untuk mengatur serangan DDOS."
Semua blog wordpress beresiko, dapat sangat disalahgunakan oleh penyerang. Sejak Wordpress juga mendukung mandat URL, penyerang dapat menggunakan link seperti http://admin:admin@192.168.0.1/changeDNS.asp newDNS=?Aaaa sampai router mengkonfigurasi ulang internal.
Dia juga mengatakan bahwa mematikan fitur Pingback tidak akan memperbaiki solusi, solusi utama adalah patch.
