WordPress 4.2.1 – 安全发布修复了零日XSS漏洞 – 立即更新
在WordPress 4.2发布后仅3天,一位安全研究人员发现了影响WordPress 4.2,4.1.2,4.1.1,4.1.3和3.9.3的零日XSS漏洞。这允许攻击者将JavaScript注入评论并破解您的网站。 WordPress团队快速响应并修复了WordPress 4.2.1中的安全问题,我们强烈建议您立即更新您的网站。
Klikki Oy的安全研究员JoukoPynnönen报告说这个问题描述为:
如果由登录管理员触发,则在默认设置下,攻击者可以利用此漏洞通过插件和主题编辑器在服务器上执行任意代码。
或者,攻击者可以更改管理员密码,创建新管理员帐户,或执行当前登录管理员在目标系统上可以执行的任何操作。
这个特殊漏洞类似于Cedric Van Bockhaven报告的漏洞,该漏洞在WordPress 4.1.2安全版本中进行了修补。
不幸的是,他们没有使用适当的安全公开,而是在他们的网站上公开发布该漏洞。这意味着那些不升级其网站的人将面临严重的风险。
更新:我们了解到,他们尝试联系WordPress安全团队但未能得到及时的回复。
如果您尚未禁用自动更新,那么您的网站将自动更新。
在WordPress 4.2发布后仅3天,一位安全研究人员发现了影响WordPress 4.2,4.1.2,4.1.1,4.1.3和3.9.3的零日XSS漏洞。这允许攻击者将JavaScript注入评论并破解您的网站。 WordPress团队快速响应并修复了WordPress 4.2.1中的安全问题,我们强烈建议您立即更新您的网站。
Klikki Oy的安全研究员JoukoPynnönen报告说这个问题描述为:
如果由登录管理员触发,则在默认设置下,攻击者可以利用此漏洞通过插件和主题编辑器在服务器上执行任意代码。
或者,攻击者可以更改管理员密码,创建新管理员帐户,或执行当前登录管理员在目标系统上可以执行的任何操作。
这个特殊漏洞类似于Cedric Van Bockhaven报告的漏洞,该漏洞在WordPress 4.1.2安全版本中进行了修补。
不幸的是,他们没有使用适当的安全公开,而是在他们的网站上公开发布该漏洞。这意味着那些不升级其网站的人将面临严重的风险。
更新:我们了解到,他们尝试联系WordPress安全团队但未能得到及时的回复。
如果您尚未禁用自动更新,那么您的网站将自动更新。