WordPress 4.2.1 – 安全发布修复了零日XSS漏洞 – 立即更新

在WordPress 4.2发布后仅3天,一位安全研究人员发现了影响WordPress 4.2,4.1.2,4.1.1,4.1.3和3.9.3的零日XSS漏洞。这允许攻击者将JavaScript注入评论并破解您的网站。 WordPress团队快速响应并修复了WordPress 4.2.1中的安全问题,我们强烈建议您立即更新您的网站。

WordPress XSS Security

Klikki Oy的安全研究员JoukoPynnönen报告说这个问题描述为:

如果由登录管理员触发,则在默认设置下,攻击者可以利用此漏洞通过插件和主题编辑器在服务器上执行任意代码。

或者,攻击者可以更改管理员密码,创建新管理员帐户,或执行当前登录管理员在目标系统上可以执行的任何操作。

这个特殊漏洞类似于Cedric Van Bockhaven报告的漏洞,该漏洞在WordPress 4.1.2安全版本中进行了修补。

不幸的是,他们没有使用适当的安全公开,而是在他们的网站上公开发布该漏洞。这意味着那些不升级其网站的人将面临严重的风险。

更新:我们了解到,他们尝试联系WordPress安全团队但未能得到及时的回复。

如果您尚未禁用自动更新,那么您的网站将自动更新。

在WordPress 4.2发布后仅3天,一位安全研究人员发现了影响WordPress 4.2,4.1.2,4.1.1,4.1.3和3.9.3的零日XSS漏洞。这允许攻击者将JavaScript注入评论并破解您的网站。 WordPress团队快速响应并修复了WordPress 4.2.1中的安全问题,我们强烈建议您立即更新您的网站。

WordPress XSS Security

Klikki Oy的安全研究员JoukoPynnönen报告说这个问题描述为:

如果由登录管理员触发,则在默认设置下,攻击者可以利用此漏洞通过插件和主题编辑器在服务器上执行任意代码。

或者,攻击者可以更改管理员密码,创建新管理员帐户,或执行当前登录管理员在目标系统上可以执行的任何操作。

这个特殊漏洞类似于Cedric Van Bockhaven报告的漏洞,该漏洞在WordPress 4.1.2安全版本中进行了修补。

不幸的是,他们没有使用适当的安全公开,而是在他们的网站上公开发布该漏洞。这意味着那些不升级其网站的人将面临严重的风险。

更新:我们了解到,他们尝试联系WordPress安全团队但未能得到及时的回复。

如果您尚未禁用自动更新,那么您的网站将自动更新。

相关推荐

发表回复

房先生
我们将24小时内回复。
2024-05-23 03:10:14
您好,有任何疑问请与我们联系!
您的工单我们已经收到,我们将会尽快跟您联系!
[加我微信]
chaoneo
注:点击复制微信号并打开微信APP,添加好友后进行聊天。
[电话联系]
13585372227
[电子邮件]
chaoneo@163.com
取消

选择聊天工具: