WordPress 宣布將發布一個維護和安全版本,該版本修復了多個漏洞,其中一個可能導致整個網站被接管。
WordPress維護與安全版本6.3.2
WordPress 6.3.2 提供了 41 個錯誤修復,但更重要的是,它附帶了針對 8 個漏洞的修補程式。
最近發現並修補了以下八個漏洞:
- WordPress 核心中存在允許任意短程式碼執行的漏洞
- 未經身份驗證的駭客可能會洩漏使用者的電子郵件地址
- 遠端程式碼執行 POP 字串漏洞
- 後連結導航區塊中的跨站腳本 (XSS) 漏洞
- 私人貼文上過濾評論的可見性
- 應用程式密碼畫面中反映的跨站腳本 (XSS) 漏洞
- 頁腳跨站腳本 (XSS) 漏洞
- 緩存中毒拒絕服務 (DoS) 漏洞
一些漏洞是由於入口清理不足造成的,這意味著發送的資料沒有過濾惡意入口。
用於收件匣清理報告的官方 WordPress 開發人員頁面:
「不可信的資料來自許多來源(使用者、第三方網站,甚至您自己的資料庫!),所有這些都應該在使用前進行檢查。
輸入清理是保護/清理/過濾輸入資料的過程。
驗證優於清理,因為驗證更具體。
但當不可能做到‘更具體’時,消毒就是退而求其次的選擇。”
所有漏洞都被視為中等嚴重性,包括五個中等嚴重性問題的修補程式。
Wordfence 發布的有關目前安全版本的警告指出,至少其中一個漏洞包含完全網站接管的可能性。
WordPress 建議所有使用者驗證其 WordPress 安裝是否已更新至最新版本,即 WordPress 版本 6.3.2。
根據WordPress官方公告:
「由於這是一個安全版本,建議您立即更新您的網站。
向後移植也可用於其他主要 WordPress 版本,4.1 及更高版本。”
閱讀 WordPress 官方安全發佈公告:
WordPress 6.3.2:維護與安全版本
精選圖片由 Shutterstock/Light_Lenser 提供
