Boke112 后台已经自动升级到 WordPress 4.7.2,本以为也就是普通的升级更新无伤大雅,了解之后才知道 WordPress 4.7.2 版本修复了 4 个安全漏洞,其中有一个比较严重的内容注入漏洞会影响 REST API(权限升级),而这个漏洞允许未经过身份验证的用户修改 WordPress 站点的文章或页面内容。所以 boke112 在此强烈建议尚未自动升级到 WordPress 4.7.2 版本的站点请尽快升级。
WordPress 4.7.2 版本修复的漏洞
- 向所有用户(包括没有权限的用户)显示分配分类术语(assigning taxonomy terms)用户界面;
- WP_Query 容易受到 SQL 注入攻击,已强化插件和主题在这方面的漏洞;
- 文章列表中存在跨站脚本(XSS)漏洞;
- REST API 端点存在未经身份验证的权限提升漏洞。
其中一个 REST API 端点的权限提升漏洞,允许未经过身份验证的访问(通过 API)查看、编辑、删除和创建文章及页面,而且 REST API 在缺省情况下,使用了 WordPress 4.7.0 或 4.7.1 版本的站点都是启用的,所以如果你的网站在这些版本中的话,请尽快升级到 WordPress 4.7.2 版本,要不然某一天你就会突然发现自己的网站已经被垃圾消息、垃圾广告等不良信息占据。
参考资料
- WordPress 4.7.2 Security Release
- Content Injection Vulnerability in WordPress
本文WordPress4.7.2版本修复4个漏洞建议立刻升级更新到此结束。相信别人,放弃自己,这是许多人失败人生的开始。小编再次感谢大家对我们的支持!