WordPress4.7.2版本修复4个漏洞建议立刻升级更新

2017-02-04 10:44 阅读 224 次 评论 16 条

Boke112 后台已经自动升级到 WordPress 4.7.2,本以为也就是普通的升级更新无伤大雅,了解之后才知道 WordPress 4.7.2 版本修复了 4 个安全漏洞,其中有一个比较严重的内容注入漏洞会影响 REST API(权限升级),而这个漏洞允许未经过身份验证的用户修改 WordPress 站点的文章或页面内容。所以 boke112 在此强烈建议尚未自动升级到 WordPress 4.7.2 版本的站点请尽快升级。

WordPress4.7.2版本修复4个漏洞建议立刻升级更新

WordPress 4.7.2 版本修复的漏洞

  • 向所有用户(包括没有权限的用户)显示分配分类术语(assigning taxonomy terms)用户界面;
  • WP_Query 容易受到 SQL 注入攻击,已强化插件和主题在这方面的漏洞;
  • 文章列表中存在跨站脚本(XSS)漏洞;
  • REST API 端点存在未经身份验证的权限提升漏洞。

其中一个 REST API 端点的权限提升漏洞,允许未经过身份验证的访问(通过 API)查看、编辑、删除和创建文章及页面,而且 REST API 在缺省情况下,使用了 WordPress 4.7.0 或 4.7.1 版本的站点都是启用的,所以如果你的网站在这些版本中的话,请尽快升级到 WordPress 4.7.2 版本,要不然某一天你就会突然发现自己的网站已经被垃圾消息、垃圾广告等不良信息占据。

参考资料

本文地址:http://boke112.com/3775.html
文章标签: ,   ,  
关注我们:请关注一下我们的微信公众号:扫描二维码,公众号:aiboke112
版权声明:本文为原创文章,版权归  所有,欢迎分享本文,转载请保留出处!
WordPress免费响应式主题:Nana

发表评论


表情

  1. Koolight
    Koolight 【省长】 @回复

    热腾网被黑了……

  2. 何湘辉博客
    何湘辉博客 【农民】 @回复

    第一张图片在敲JavaScript,鉴定完毕。

  3. 靠谱学生兼职网
    靠谱学生兼职网 【市长】 @回复

    不知道我的有没有问题啊。

  4. 杭州牛牛工作室
    杭州牛牛工作室 【镇长】 @回复

    我用的NANA没问题

  5. 真我风采
    真我风采 【村长】 @回复

    升级怕主题和有的插件不兼容。所以,一直没有敢动。不过NANA主题没有问题。

  6. 动感单车
    动感单车 【省长】 @回复

    我的动感单车网还停留在4.6.1版本,无论如何对于我来说,暂时还不想升级!

  7. 西狂
    西狂 【镇长】 @回复

    要升级,但是升级前要做好备份,确保有后悔药吃

  8. 大国小事
    大国小事 【市长】 @回复

    怎么经常要更新啊

  9. 憧憬点滴记忆
    憧憬点滴记忆 【村长】 @回复

    对的,赶紧升级

  10. 蔚蓝博客
    蔚蓝博客 【队长】 @回复

    赶紧更新。

  11. 明月登楼的博客
    明月登楼的博客 【总理】 @回复

    两个站都已经更新到4.7.2了!

  12. 残酷娱乐网
    残酷娱乐网 【农民】 @回复

    感谢提醒

  13. 杭州牛牛工作室
    杭州牛牛工作室 【镇长】 @回复

    谢谢分享 升级去了

  14. BanYuner
    BanYuner 【镇长】 @回复

    目前还没有升级 有时间在升级吧

  15. 刘传鹏博客
    刘传鹏博客 【镇长】 @回复

    赶紧升级去