在WordPress 4.2发布仅 3 天后,一位安全研究人员发现了一个影响 WordPress 4.2、4.1.2、4.1.1、4.1.3 和 3.9.3 的零日 XSS 漏洞。这允许攻击者将 JavaScript 注入评论并入侵您的网站。WordPress 团队快速响应并修复了 WordPress 4.2.1 中的安全问题,我们强烈建议您立即更新您的网站。
报告该问题的 Klikki Oy 安全研究员 Jouko Pynnönen 将其描述为:
如果由登录的管理员触发,在默认设置下,攻击者可以利用该漏洞通过插件和主题编辑器在服务器上执行任意代码。
或者,攻击者可以更改管理员的密码、创建新的管理员帐户,或者执行当前登录的管理员在目标系统上可以执行的任何其他操作。
这个特定的漏洞类似于 Cedric Van Bockhaven 报告的漏洞,该漏洞已在 WordPress 4.1.2 安全版本中进行了修补。
不幸的是,他们没有使用适当的安全披露,而是在他们的网站上公开发布了漏洞利用。这意味着那些不升级他们的网站的人将面临严重的风险。
更新:我们了解到,他们尝试联系 WordPress 安全团队,但未能得到及时回复。
如果您没有禁用自动更新,那么您的站点将自动更新。
再次,我们强烈建议您将您的网站更新到 WordPress 4.2.1。确保在更新之前备份您的网站。