昨天,WordPress開發(fā)團(tuán)隊(duì)發(fā)布了WordPress 4.7.5版本,修復(fù)了6個安全問題。所有使用WordPress 4.7版本的網(wǎng)站,將會自動升級到該版本。低于WordPress 4.7版本的用戶,請手動升級到該坂本。
WordPress 4.7.5修復(fù)漏洞如下:
—HTTP 類中存在的重定向驗(yàn)證不足(Insufficient redirect validation in the HTTP class );
—XML-RPC 接口對文章元數(shù)據(jù)的不當(dāng)處理(Improper handling of post meta data values in the XML-RPC API);
—XML-RPC 接口對文章元數(shù)據(jù)缺少檢測能力(Lack of capability checks for post meta data in the XML-RPC API);
—在文件系統(tǒng)信任憑據(jù)對話框中發(fā)現(xiàn)跨站點(diǎn)請求偽造漏洞(CRSF)(A Cross Site Request Forgery (CRSF) vulnerability was discovered in the filesystem credentials dialog);
—試圖上傳超大文件時發(fā)現(xiàn)跨站點(diǎn)腳本(XSS)漏洞(A cross-site scripting (XSS) vulnerability was discovered when attempting to upload very large files);
—主題自定義面板發(fā)現(xiàn)跨站點(diǎn)腳本(XSS)漏洞(A cross-site scripting (XSS) vulnerability was discovered related to the Customizer)。
據(jù)了解,WordPress團(tuán)隊(duì)在HackerOne網(wǎng)站上開通了自己的官方賬戶,并鼓勵用戶通過該網(wǎng)站負(fù)責(zé)任地報(bào)告WordPress安全漏洞,以加快對安全漏洞的處理進(jìn)程。同時,WordPress團(tuán)隊(duì)啟用賞金計(jì)劃,匯報(bào)這些報(bào)告安全漏洞的用戶,賞金范圍在150 ~ 1337美元之間。
WordPress安全團(tuán)隊(duì)的負(fù)責(zé)人Aaron Campbell稱,該團(tuán)隊(duì)在啟動了bug賞金計(jì)劃之后,安全漏洞報(bào)告數(shù)量達(dá)到了一個峰值。如果今后用戶報(bào)告WordPress安全漏洞仍然非常頻繁的話,WordPress團(tuán)隊(duì)將會加快安全升級版本的發(fā)布頻率。在比特率勒索病毒爆發(fā)之后,WordPress團(tuán)隊(duì)對于網(wǎng)站安全的問題愈加重視。
需要提醒的是,已經(jīng)安裝了WordPress 4.7版本的用戶,只要你沒有手動關(guān)閉自動更新功能,你的網(wǎng)站都會自動升級到4.7.5 版本。如果你還在使用WordPress 4.7之前的版本,請務(wù)必手動更新到此最新版本。
尚未安裝WordPress的新用戶,可以點(diǎn)擊這里下載WordPress最新版本。