WordPress 4.5.2安全维护版本发布,并解释ImageTragick问题

分享本文:
wp-4-5

WordPress核心开发团队刚刚发布了WordPress 4.5.2版本,修复了WordPress 4.5.1及更早版本中存在的两处安全漏洞。

第一个安全隐患是,在WordPress用于上传文件的第三方库Plupload中,发现存在SOME(Same-Origin Method Execution,同源方法执行)漏洞。

第二个安全隐患是,在WordPress的媒体库中使用的第三方库MediaElement.js中,其生成的网址存在被致反射型跨域攻击(reflected XSS)的可能。

以上两个安全隐患由来自Cure53团队的Mario Heiderich,Masato Kinugawa,和Filedescriptor发现并报告。经过Plupload团队和MediaElement.js团队与WordPress核心团队共同努力,已经修复了这两个问题。

WordPress默认开启小版本自动更新功能,没有关闭该功能的网站将会自动更新到此最新版本。你也可以通过WordPress管理后台的更新按钮一键升级到最新版本。你也可以通过这里点击下载WordPress 4.5.2最新版

此外,WordPress中使用的处理图片的ImageMagic库,最近被大范围报道存在安全漏洞;这一问题并命名为ImageTragick,这里是关于ImageTragick的专题网站。WordPress核心团队撰文对此问题做了详细解释

由于此漏洞存在于PHP的Imagick扩展中,而不是WordPress自身的问题,WordPress团队无法通过更新解决这一漏洞。因此,请你及时联系你的主机空间服务商进行解决。ImageMagick团队已经于5月3日发布更新解决这一问题。

我们WordPress中文网提供的WordPress专业主机,已经于前天(5月5日)及时进行了升级,修复了此完全漏洞,所有用户均不必担心。使用其他主机空间、服务器的WordPress用户,请联系你的服务商确认是否已经修复此ImageTragick漏洞。

分享本文:


评论: WordPress 4.5.2安全维护版本发布,并解释ImageTragick问题

发表一下评论

邮箱地址不会被公开。 必填项已用*标注