WordPress 4.7.5正式發(fā)布 修復(fù)六大漏洞

責(zé)任編輯:editor006

作者:劉藝

2017-05-18 17:10:35

摘自:快科技

昨天,WordPress開發(fā)團(tuán)隊(duì)發(fā)布了WordPress 4 7 5版本,修復(fù)了6個安全問題?!谖募到y(tǒng)信任憑據(jù)對話框中發(fā)現(xiàn)跨站點(diǎn)請求偽造漏洞(CRSF)(A Cross Site Request Forgery (CRSF)

昨天,WordPress開發(fā)團(tuán)隊(duì)發(fā)布了WordPress 4.7.5版本,修復(fù)了6個安全問題。所有使用WordPress 4.7版本的網(wǎng)站,將會自動升級到該版本。低于WordPress 4.7版本的用戶,請手動升級到該坂本。

WordPress 4.7.5修復(fù)漏洞如下:

—HTTP 類中存在的重定向驗(yàn)證不足(Insufficient redirect validation in the HTTP class );

—XML-RPC 接口對文章元數(shù)據(jù)的不當(dāng)處理(Improper handling of post meta data values in the XML-RPC API);

—XML-RPC 接口對文章元數(shù)據(jù)缺少檢測能力(Lack of capability checks for post meta data in the XML-RPC API);

—在文件系統(tǒng)信任憑據(jù)對話框中發(fā)現(xiàn)跨站點(diǎn)請求偽造漏洞(CRSF)(A Cross Site Request Forgery (CRSF) vulnerability was discovered in the filesystem credentials dialog);

—試圖上傳超大文件時發(fā)現(xiàn)跨站點(diǎn)腳本(XSS)漏洞(A cross-site scripting (XSS) vulnerability was discovered when attempting to upload very large files);

—主題自定義面板發(fā)現(xiàn)跨站點(diǎn)腳本(XSS)漏洞(A cross-site scripting (XSS) vulnerability was discovered related to the Customizer)。

據(jù)了解,WordPress團(tuán)隊(duì)在HackerOne網(wǎng)站上開通了自己的官方賬戶,并鼓勵用戶通過該網(wǎng)站負(fù)責(zé)任地報(bào)告WordPress安全漏洞,以加快對安全漏洞的處理進(jìn)程。同時,WordPress團(tuán)隊(duì)啟用賞金計(jì)劃,匯報(bào)這些報(bào)告安全漏洞的用戶,賞金范圍在150 ~ 1337美元之間。

WordPress安全團(tuán)隊(duì)的負(fù)責(zé)人Aaron Campbell稱,該團(tuán)隊(duì)在啟動了bug賞金計(jì)劃之后,安全漏洞報(bào)告數(shù)量達(dá)到了一個峰值。如果今后用戶報(bào)告WordPress安全漏洞仍然非常頻繁的話,WordPress團(tuán)隊(duì)將會加快安全升級版本的發(fā)布頻率。在比特率勒索病毒爆發(fā)之后,WordPress團(tuán)隊(duì)對于網(wǎng)站安全的問題愈加重視。

需要提醒的是,已經(jīng)安裝了WordPress 4.7版本的用戶,只要你沒有手動關(guān)閉自動更新功能,你的網(wǎng)站都會自動升級到4.7.5 版本。如果你還在使用WordPress 4.7之前的版本,請務(wù)必手動更新到此最新版本。

尚未安裝WordPress的新用戶,可以點(diǎn)擊這里下載WordPress最新版本。

WordPress 4.7.5正式發(fā)布 修復(fù)六大漏洞

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號