WordPress 4.2.1-安全版本修復了零日XSS漏洞


WordPress 4.2發布後僅三天,一名安全研究人員發現了零日XSS漏洞,該漏洞會影響WordPress 4.2、4.1.2、4.1.1、4.1.3和3.9.3。 這使攻擊者可以將JavaScript注入註釋中併入侵您的網站。 WordPress團隊快速響應並修復了WordPress 4.2.1中的安全問題,我們強烈建議您立即更新您的網站。

WordPress XSS安全性

Klikki Oy的安全研究員JoukoPynnönen報告了此問題,並將其描述為:

如果由登錄管理員觸發,則在默認設置下,攻擊者可以利用該漏洞通過插件和主題編輯器在服務器上執行任意代碼。

或者,攻擊者可以更改管理員的密碼,創建新的管理員帳戶或執行當前登錄的管理員在目標系統上可以執行的其他任何操作。

此特定漏洞類似於WordPress 4.1.2安全版本中修補的Cedric Van Bockhaven報告的漏洞。

不幸的是,他們沒有使用適當的安全披露,而是在網站上公開發布了漏洞利用程序。 這意味著那些不升級其站點的人將面臨嚴重的風險。

更新: 我們了解到,他們嘗試與WordPress安全團隊聯繫,但未能及時得到答复。

如果您尚未禁用自動更新,則您的站點將自動更新。

再次強烈建議您將網站更新為WordPress 4.2.1。 確保在更新之前備份您的站點。