Hi!请登陆

WordPress4.7.2版本修复4个漏洞建议立刻升级更新

2021-1-3 40 1/3

OZABC 后台已经自动升级到 WordPress 4.7.2,本以为也就是普通的升级更新无伤大雅,了解之后才知道 WordPress 4.7.2 版本修复了 4 个安全漏洞,其中有一个比较严重的内容注入漏洞会影响 REST API(权限升级),而这个漏洞允许未经过身份验证的用户修改 WordPress 站点的文章或页面内容。所以 OZABC 在此强烈建议尚未自动升级到 WordPress 4.7.2 版本的站点请尽快升级。

WordPress4.7.2版本修复4个漏洞建议立刻升级更新

WordPress 4.7.2 版本修复的漏洞

  • 向所有用户(包括没有权限的用户)显示分配分类术语(assigning taxonomy terms)用户界面;
  • WP_Query 容易受到 SQL 注入攻击,已强化插件和主题在这方面的漏洞;
  • 文章列表中存在跨站脚本(XSS)漏洞;
  • REST API 端点存在未经身份验证的权限提升漏洞。

其中一个 REST API 端点的权限提升漏洞,允许未经过身份验证的访问(通过 API)查看、编辑、删除和创建文章及页面,而且 REST API 在缺省情况下,使用了 WordPress 4.7.0 或 4.7.1 版本的站点都是启用的,所以如果你的网站在这些版本中的话,请尽快升级到 WordPress 4.7.2 版本,要不然某一天你就会突然发现自己的网站已经被垃圾消息、垃圾广告等不良信息占据。

参考资料

  • WordPress 4.7.2 Security Release
  • Content Injection Vulnerability in WordPress

相关推荐