WordPress 刚刚推出了 6.5.2 版本,这是一次维护和安全性更新。此版本解决了商城中的跨站点脚本(XSS)漏洞,并修正了核心与块编辑器的多项问题。这一漏洞也同样影响了 WordPress 的核心和 Gutenberg 插件。
请注意:因初始包存在问题,WordPress 6.5.1 并未推出。因此,6.5.2 版本是 6.5 系列的首个次要更新。
XSS跨站脚本漏洞
关于跨站脚本 (XSS) 在 WordPress 发现的一个 XSS 漏洞可能让黑客能够在网站上注入恶意脚本,并攻击浏览这些页面的用户。
XSS 漏洞主要分为三种类型,而在 WordPress 的插件、主题以及核心程序中,反射型 XSS 和存储型 XSS 最为常见。
反射型 XSS 通常需要受害者点击一个链接,这增加了攻击的难度。
与之相比,存储型 XSS 更加危险,因为它可以利用站点的漏洞让黑客上传恶意脚本,然后针对访问者发起攻击。在 WordPress 中被发现的就是这样一个存储型 XSS 漏洞。
尽管此漏洞被认为是需要经过认证的存储型 XSS,这意味着黑客需要先获取至少是贡献者级别的权限,才能利用这一站点的漏洞。
该漏洞的危险级别被评为中等,通用漏洞评分系统 (CVSS) 的评分为 6.4(满分为 10)。
Wordfence 对这一漏洞的描述如下:
WordPress 官方强烈建议尽快进行更新并且 WordPress 的官方公告强调了更新的重要性,并指出:
鉴于这是一个安全更新,我们建议您尽快升级您的站点。此更新同样适用于 WordPress 6.1 及以上版本。
1 如果您喜欢本站,点击这儿捐赠本站,感谢支持!
2 修改版本安卓及电脑软件,加群提示为修改者自留,非本站信息,注意鉴别;
3 本网站部分资源来源于网络,仅供大家学习与参考,请于下载后24小时内删除;
4 若作商业用途,请联系原作者授权,若本站侵犯了您的权益请联系站长进行删除处理;
5 如果您喜欢该内容,请支持正版,购买注册,得到更好的正版服务;
暂无评论内容