恰饭广告 感谢理解
莆田潮牌鞋服
广告
WordPress 被曝光出出XSS跨站脚本漏洞,强烈建议更新最新6.5.2版本

WordPress 被曝光出出XSS跨站脚本漏洞,强烈建议更新最新6.5.2版本

WordPress 刚刚推出了 6.5.2 版本,这是一次维护和安全性更新。此版本解决了商城中的跨站点脚本(XSS)漏洞,并修正了核心与块编辑器的多项问题。这一漏洞也同样影响了 WordPress 的核心和 Gutenberg 插件

请注意:因初始包存在问题,WordPress 6.5.1 并未推出。因此,6.5.2 版本是 6.5 系列的首个次要更新。

XSS跨站脚本漏洞

关于跨站脚本 (XSS) 在 WordPress 发现的一个 XSS 漏洞可能让黑客能够在网站上注入恶意脚本,并攻击浏览这些页面的用户。

XSS 漏洞主要分为三种类型,而在 WordPress 的插件、主题以及核心程序中,反射型 XSS 和存储型 XSS 最为常见。

反射型 XSS 通常需要受害者点击一个链接,这增加了攻击的难度。

与之相比,存储型 XSS 更加危险,因为它可以利用站点的漏洞让黑客上传恶意脚本,然后针对访问者发起攻击。在 WordPress 中被发现的就是这样一个存储型 XSS 漏洞

尽管此漏洞被认为是需要经过认证的存储型 XSS,这意味着黑客需要先获取至少是贡献者级别的权限,才能利用这一站点的漏洞

漏洞的危险级别被评为中等,通用漏洞评分系统 (CVSS) 的评分为 6.4(满分为 10)。

Wordfence 对这一漏洞的描述如下:

在 WordPress 6.5.2 及以前版本中,由于对显示名称的输出转义不充分,Avatar 块内的用户显示名称容易遭受存储型跨站脚本攻击。这允许已认证且至少具有贡献者权限的用户在网页上注入任意 Web 脚本,当用户浏览被注入的页面时,这些脚本会被执行。

WordPress 官方强烈建议尽快进行更新并且 WordPress 的官方公告强调了更新的重要性,并指出:

鉴于这是一个安全更新,我们建议您尽快升级您的站点。此更新同样适用于 WordPress 6.1 及以上版本。

© 版权声明
WORDPRESS.8UID.COM
喜欢就支持一下吧
点赞18 分享打赏
评论 抢沙发

请登录后发表评论

    暂无评论内容