根据 WordPress 官方消息:WordPress 4.7 正式版自 2016 年 12 月 6 日发布以来,已经有超过 1000 万次的下载。我们很高兴宣布 WordPress 4.7.1 已经可以直接下载更新了,这个版本主要是解决以前旧版本存在的 8 个主要安全问题和 61 处错误。为此,我们强烈建议您立即更新升级你的网站到 WordPress 4.7.1( boke112 发现这个 WordPress 4.7.1 好像是自动更新的,我的站点就是自动升级的,不用人工去点击升级更新)。
WordPress 4.7.1 修复旧版本的 8个主要安全问题
1、在 PHPMailer 中存在的远程代码执行(RCE)漏洞。根据我们的调查,WordPress 或主要的插件目前都没有发现具体的问题,不过出于谨慎考虑,我们在 WordPress 4.7.1 中更新了这个 PHPMailer。
2、REST API 暴露曾撰写过公共文章类型的所有用户的用户数据。WordPress 4.7.1 将限制为仅在 REST API 中指定显示的文章类型。
3、通过 update-core.php 上的插件名称或版本标头的跨站点脚本(XSS)漏洞。
4、通过上传一个 Flash 文件伪造跨站请求 (CSRF)漏洞。
5、通过主题名称回调(fallback)的跨站点脚本(XSS)漏洞。
6、如果没有更改默认设置,可以通过 mail.example.com 进行邮件发布文章漏洞。
7、在小工具的可访问性模式下的编辑功能发现了伪造跨站点请求(CSRF)漏洞。
8、较弱的多站点激活密钥的加密安全性。
另外,WordPress 4.7.1 除了解决以上 8 个安全问题外,还修复了 WordPress 4.7 版本中存在的 61 个错误。如需了解更多有关信息,请参见 WordPress 4.7.1 版本的发布说明 和 错误更新列表。
文章翻译自:WordPress 4.7.1 Security and Maintenance Release
桂公网安备 45010502000016号