WordPress是一种运用PHP语言研发的博客平台,用户能够在支持PHP和MySQL数据库的服务器上架设属于自己的网站,亦能够把WordPress当作一个内容管理系统(CMS)来运用。
大概一月前,WordPress研发团队发布了WordPress 4.7正式版,为了纪念美国爵士乐手 Sarah Sassy Vaughan,这一版本被命名为“Vaughan”。
昨日,WordPress 4.7迎来了第1个安全守护版本,版本号升级至4.7.1。该版本对之前所有版本中存在的安全问题进行了修复,意见正在运用旧版本的用户尽快升级。
WordPress 4.7以及早前版本受到了以下8个安全漏洞的影响:
1、PHPMailer中存在的远程代码执行漏洞–日前该漏洞尚未 WordPress及主流插件导致任何确切的影响。然则出于小心思虑,研发团队这里新版本中对PHPMailer模块进行了升级。
2、REST API会向已被授权拜访文案类型或其他公开文案类型的所有用户暴露用户数据。WordPress 4.7.1对该权限做了限制,只向授权准许拜访一样文案类型的用户开放用户数据。
3、由插件名叫作或update-code.php文件中版本标头导致的跨站脚本攻击漏洞。
4、经过上传Flash文件导致的跨站点请求伪造攻击。
5、因主题名叫作回滚导致的跨站攻击。
6、经过邮件发布文案时,倘若默认设置无修改,则检测 mail.example.com。
7、在可拜访模式下编辑挂件(小工具)时存在跨站点请求伪造攻击。
8、多站点激活密钥的加密安全薄弱。
除了以上的安全漏洞,WordPress 4.7.1还修复了62个漏洞。
新用户能够下载WordPress 4.7.1,已然安装WordPress用户能够经过WordPress的掌控台直接点击“立即更新”按钮进行升级。网站升级之前请务必做好备份。
|