安裝量超過 200 萬次的高級自訂欄位 (ACF) WordPress 外掛程式宣布發布安全性更新版本 6.2.5,修復了一個漏洞,該漏洞的嚴重程度未知,僅發布了有關該漏洞的有限詳細資訊。
雖然尚不清楚可能發生何種類型的攻擊或攻擊者可能造成的損害程度,但ACF 確實建議該漏洞需要貢獻者等級或更高等級的存取權限,這在某種程度上使得發動攻擊變得困難。
ACF 6.2.5 可能會引入重大更改
安全性發佈公告警告說,更新修補程式引入的變更有可能導致網站崩潰,並提供了有關如何偵錯變更的說明。
版本 6.2.5 更新對 ACF 短代碼處理和產生潛在不安全 HTML 內容的方式進行了重大更改。 現在,輸出將被轉義,這是一個安全過程,通常會刪除不需要的 HTML,例如惡意腳本或格式錯誤的 HTML,以便呈現的 HTML 是安全的。
但是,此變更在提高安全性的同時,可能會破壞使用短程式碼呈現複雜 HTML 元素(例如腳本或 iframe)的網站。
可能被濫用的標籤,例如