文章目录
[+]
大概一个月前,WordPress开拓团队发布了WordPress 4.7正式版,为了纪念美国爵士乐手 Sarah Sassy Vaughan,这一版本被命名为“Vaughan”。
昨日,WordPress 4.7迎来了第一个安全掩护版本,版本号升级至4.7.1。该版本对之前所有版本中存在的安全问题进行了修复,建议正在利用旧版本的用户尽快升级。
WordPress 4.7以及早前版本受到了以下8个安全漏洞的影响:
(图片来自网络侵删)
1、PHPMailer中存在的远程代码实行漏洞–目前该漏洞尚未 WordPress及主流插件造成任何确切的影响。但是出于谨慎考虑,开拓团队在此新版本中对PHPMailer模块进行了升级。
2、REST API会向已被授权访问文章类型或其他公开文章类型的所有用户暴露用户数据。WordPress 4.7.1对该权限做了限定,只向授权许可访问同样文章类型的用户开放用户数据。
3、由插件名称或者update-code.php文件中版本标头引起的跨站脚本攻击漏洞。
4、通过上传Flash文件引起的跨站点要求假造攻击。
5、因主题名称回滚引起的跨站攻击。
6、通过邮件揭橥文章时,如果默认设置没有修正,则检讨 mail.example.com。
7、在可访问模式下编辑挂件(小工具)时存在跨站点要求假造攻击。
8、多站点激活密钥的加密安全薄弱。
除了以上的安全漏洞,WordPress 4.7.1还修复了62个漏洞。
新用户可以下载WordPress 4.7.1,已经安装WordPress用户可以通过WordPress的掌握台直接点击“立即更新”按钮进行升级。网站升级之前请务必做好备份。
