行业新闻与博客

WordPress 的最新版本捆绑了 23 个修复和增强功能，其中包括针对六个中度风险跨站点脚本（XSS）的补丁程序和其他安全错误。

WordPress 5.4.2，于周三（6月10日）发布，解决了 5.4 和更早版本的开源内容管理系统中存在的许多安全漏洞。

在最新的 WordPress 核心版本中解决的显着安全风险都要求经过身份验证的攻击者有任何工作的机会。

这意味着避免让人们进行自我注册或让陌生人访问的系统管理员很可能不会受到影响。

即使这样，仍然建议您更新软件，并且对于许多人来说，此过程将自动进行。

XSS 标志着

该更新解决的 XSS 问题之一意味着，具有低特权的经过身份验证的用户可以在块编辑器中的帖子中添加 JavaScript。

在 WordPress 的核心安全漏洞是由安全研究员山姆·托马斯发现。

另一个 XSS 问题意味着具有上传权限的经过身份验证的用户能够将 JavaScript 添加到媒体文件中。

研究人员 Nrimo Ing Pandum 通过主题上传发现了经过身份验证的 XSS 问题。

但是该发行版不仅涉及 XSS 错误。此更新还解决了 WordPress 安全团队的 Ben Bidner 发现的 wp_validate_redirect（）中的开放重定向问题。

还可以解决在某些情况下可以显示受密码保护的帖子和页面的评论的问题。

插件风险

最后，此修复程序还用于特权提升漏洞，这意味着 RIPS Technologies 的安全研究人员 Simon Scannell 发现，插件可以滥用设置屏幕选项。

Scannell 告诉 The Daily Swig：“当我对 WordPress 核心及其底层逻辑进行研究时发现了该漏洞。该漏洞可通过某些插件触发。

“当时，成千上万的站点导致了特权升级。”

Scannell 补充说：“要求是有权访问该站点的管理仪表板的任何用户，这可以通过 bbPress 之类的插件实现。这两个插件的重叠可能会导致没有特权的论坛用户接管该网站。”

这些不同的安全修补程序汇总在一个咨询从 WordPress 安全团队。

WordPress 5.4.2 是维护版本。下一个主要版本将是 5.5 版，该版本的目标是 8月中旬推出。

对于尚未升级到 5.4 版本的用户，还有 5.3 和更早版本的更新版本可解决相同的安全问题。

本文由机器译制