刚刚,WordPress 开发团队发布了 WordPress 4.8.2 升级维护版本,修复了此前所有版本中存在的 9 个安全漏洞,强烈建议用户立即升级到此版本。
WordPress 4.8.1 修复的安全漏洞包括:
- $wpdb->prepare() 可以创建意料之外、不安全的查询,导致潜在的 SQL 注入(SQLi)。WordPress 核心程序并不直接受到这个问题的困扰,但是我们加强了保护措施,防止插件和主题受到意外影响。此问题由 Slavco 报告。
- 在 oEmbed discovery 中发现了跨站点脚本(XSS)漏洞。由 WordPress 安全团队的 xknown 报告。
- 在可视化编辑器中发现了跨站点脚本(XSS)漏洞。由 Sucuri Security 的 Rodolfo Assis (@brutelogic) 报告。
- 在文件解压缩代码中发现了路径遍历漏洞。由 Alex Chapman (noxrnet) 报告。
- 在插件编辑器中发现了跨站点脚本(XSS)漏洞。由 Alex Chapman (noxrnet) 报告。
- 在用户和术语编辑屏幕上发现了一个开放的重定向。由 Yasin Soliman (ysx) 报告。
- 在自定义面板中发现路径遍历漏洞。由 WordPress 安全团队的 Weston Ruter 报告。
- 在模板名称中发现了跨站点脚本(XSS)漏洞。由 Luka (sikic) 报告。
- 在链接模态中发现了跨站点脚本(XSS)漏洞。由 Anas Roubi (qasuar) 报告。
除此之外,WordPress 4.8.2 还修复了 6 个其他问题。更详细的介绍,请查看 WordPress 4.8.2 发布说明。
已经安装 WordPress 4.8.x 版本的用户,系统将会自动升级到此最新版本。其他用户也可以登录到后台,点击 “立即更新” ,一键升级到此最新版本。
