WordPress 3.9.2 及以下的版本包含一個嚴(yán)重的跨站腳本漏洞,可以讓匿名的用戶破壞網(wǎng)站,但是這個漏洞不會影響 4.0 版本。4.0.1 解決了以下 8 個安全問題:
* 3 個跨站腳本問題
* 一個跨站請求偽造漏洞,可以誘騙用戶修改他的密碼
* 可能導(dǎo)致密碼驗證的時候拒絕服務(wù)
* 當(dāng) WordPress 發(fā)出 HTTP 請求的時候,額外的服務(wù)端保護(hù)請求偽造攻擊
* 一個完全不像 hash 碰撞的攻擊,可以允許破壞用戶賬戶,當(dāng)然,這要要求用戶賬戶在 2008 年以后沒有登錄過。
* WordPress 現(xiàn)在的密碼重置郵件中的鏈接,如果用戶記得他們的密碼,登錄,可以修改他們的郵件地址。
WordPress 4.0.1 同時還修復(fù)了 23 個 bugs,還有兩處重大的改進(jìn),包括更好的 EXIF 數(shù)據(jù)驗證(從上傳圖片提取的)。