强烈建议更新到 WordPress 5.1.1 修复跨站点脚本漏洞

由于WordPress默认启用了评论,因此攻击者可以使用默认设置在任何站点上利用此漏洞。自动更新已经推送了,但是建议禁用后台更新的管理员立即更新。此外,如果你还在使用其他版本,比如 4.9.x,也请升级到该版本的最新子版本!

WordPress 5.1.1 在不久前就发布了,其中包含 5.1 及以前版本中发现的关键跨站点脚本漏洞的重要安全更新。发布帖称 RIPS 科技公司的 Simon Scannell 发现并报告了该漏洞。Scannell 发布了一篇文章,总结了未经身份验证的攻击者如何接管任何启用了评论的 WordPress 网站:

攻击者可以通过欺骗目标博客的管理员访问攻击者设置的网站来接管任何启用了评论的 WordPress 网站。一旦受害管理员访问恶意网站,就会在后台针对目标 WordPress 博客运行跨站点请求伪造(CSRF)漏洞,而不会受到受害者的注意。CSRF 漏洞利用了多个逻辑缺陷和清理错误,这些错误在组合时会导致远程执行代码和完整的站点接管。

由于 WordPress 默认启用了评论,因此攻击者可以使用默认设置在任何站点上利用此漏洞。自动更新已经推送了,但是建议禁用后台更新的管理员立即更新。此外,如果你还在使用其他版本,比如 4.9.x,也请升级到该版本的最新子版本!

WordPress 5.1.1 版本还提供了一个通知按钮,提示用户在 WordPress 5.2 发布前更新到要求的最低 PHP 版本。可以过滤“更新 PHP”通知以更改建议的版本。

人已赞赏
Linux专栏

Linux 系统内核正式进入 5.0 版本时代

2019-5-6 10:45:11

网站系统

WordPress 古腾堡编辑器将如何影响企业?

2019-4-26 20:53:18

2 条回复 A文章作者 M管理员
  1. 赞一个

    • 多谢支持!

个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索