WordPress 宣布将发布一个维护和安全版本,该版本修复了多个漏洞,其中一个漏洞可能导致整个网站被接管。
维护和安全版本 WordPress 6.3.2
WordPress 6.3.2 提供了 41 个错误修复,但更重要的是它附带了针对 8 个漏洞的补丁。
最近发现并修补了以下八个漏洞:
- WordPress 核心中存在允许任意短代码执行的漏洞
- 未经身份验证的黑客可能会使用以下方式泄露用户电子邮件地址
- 远程代码执行 POP 链漏洞
- 后链接导航块中的跨站脚本 (XSS) 漏洞
- 私人帖子的评论可见性泄露
- 应用程序密码屏幕中反映了跨站脚本 (XSS) 漏洞
- 脚注块中的跨站脚本 (XSS) 漏洞
- 缓存中毒拒绝服务 (DoS) 漏洞
一些漏洞是由于输入清理不足造成的,这意味着提交的数据没有过滤掉恶意输入。
用于输入清理的 WordPress 官方开发者页面告知:
“不受信任的数据来自许多来源(用户、第三方网站,甚至您自己的数据库!),所有这些数据在使用之前都需要进行检查。
清理输入是保护/清理/过滤输入数据的过程。
验证优于清理,因为验证更具体。
但当不可能做到‘更具体’时,消毒就是下一个最好的选择。”
所有漏洞均被评为中等严重性,包括五个中等严重性问题的补丁。
Wordfence 发布的有关当前安全版本的公告指出,至少其中一个漏洞包含完全站点接管的可能性。
WordPress 建议所有用户验证其 WordPress 安装是否已更新到最新版本,即 WordPress 版本 6.3.2。
声明:本站所有文章,如无特殊说明或标注,均为本站原创发布。任何个人或组织,在未征得本站同意时,禁止复制、盗用、采集、发布本站内容到任何网站、书籍等各类媒体平台。如若本站内容侵犯了原著者的合法权益,可联系我们进行处理。