В WP 4.7.0 по 4.7.1 (включительно) есть уязвимость в rest api, которая позволяет редактировать любой пост без каких либо прав. Суть в том, что если в запросе указать GET параметр ID, то WP пропускает проверку прав на редактирование в двух местах, если ID поста не был найден в системе, а в последнем месте для проверки WP тупо преобразует переменную к INT типу. Возможно, шарящие ребята уже поняли как использовать уязвимость.
Чуть нагляднее:
1. Переходим на уязвимой версии по адресу /wp-json/wp/v2/posts/1222?id=33volfing (где 33 - ID поста, который хотим редактировать).
2. WP попробует найти в системе пост с ID "33volfing", он его не найден и перейдет к следующему этапу проверки (хотя должен был уже выйти из функции).
3. WP еще раз пробует найти ID и после очередного фейла пускает нас дальше в обход проверки прав на редактирование (хотя, опять же, должен был быть выход из функции).
4. WP превращает ID "33volfing" в "33" за счет такой конструкции ((int)$id), если такой ID есть в системе, то мы спокойно можем редактировать этот пост.
В общем, пробуйте, если хотите подробнее - ищите в гугле, по-любому кто-то уже эксплойт написал. Можете также для большего понимания всего процесса посмотреть доки по API и исходники в версии 4.7.1 (на оф. сайте могли, кстати, перезалить уязвимую версию).
Чуть нагляднее:
1. Переходим на уязвимой версии по адресу /wp-json/wp/v2/posts/1222?id=33volfing (где 33 - ID поста, который хотим редактировать).
2. WP попробует найти в системе пост с ID "33volfing", он его не найден и перейдет к следующему этапу проверки (хотя должен был уже выйти из функции).
3. WP еще раз пробует найти ID и после очередного фейла пускает нас дальше в обход проверки прав на редактирование (хотя, опять же, должен был быть выход из функции).
4. WP превращает ID "33volfing" в "33" за счет такой конструкции ((int)$id), если такой ID есть в системе, то мы спокойно можем редактировать этот пост.
В общем, пробуйте, если хотите подробнее - ищите в гугле, по-любому кто-то уже эксплойт написал. Можете также для большего понимания всего процесса посмотреть доки по API и исходники в версии 4.7.1 (на оф. сайте могли, кстати, перезалить уязвимую версию).