WordPress內(nèi)容管理系統(tǒng)(CMS)剛剛發(fā)布了更新——4.2.3版本,修復(fù)一個嚴(yán)重的、影響數(shù)百萬網(wǎng)站的安全漏洞。
WordPress上存在XSS漏洞
WordPress 團(tuán)隊于周二在其博客中寫道,Wordpress 4.2.3版本修復(fù)了一個跨站腳本(XSS)漏洞,擁有作者權(quán)限、投稿者權(quán)限的用戶都可以利用該漏洞入侵網(wǎng)站。
跨站腳本(XSS)漏洞確實是web應(yīng)用程序中的一個漏洞,大多發(fā)生在有針對性的網(wǎng)絡(luò)攻擊中。跨站腳本(XSS)漏洞也是近來比較受網(wǎng)絡(luò)犯罪者推崇的一個漏洞。
攻擊者可以利用該漏洞在web應(yīng)用程序中嵌入惡意HTML、javascript、Flash等,繞過wordpress的kses防護(hù),然后在其系統(tǒng)上執(zhí)行惡意腳本。
執(zhí)行惡意腳本不是最終目的,搜集用戶敏感信息才是初衷,在惡意腳本執(zhí)行之后,系統(tǒng)上存儲的cookies都會被攻擊者竊?。ê呛?,它一般也就是竊取用戶的信息吧……)。然而wordpress公司并沒有公布具體的漏洞細(xì)節(jié)。
請立即更新你的WordPress CMS
4.2.2版本之前的wordpress均存在該漏洞,強(qiáng)烈建議CMS用戶盡快將其wordpress更新到4.2.3版本(最新版),另外還建議用戶啟用自動更新功能。