自从WordPress 4.7于2016年12月6日发布之后,其下载次数已经超过1000万次了。昨天,WordPress开发团队发布了WordPress 4.7.1安全修复升级版本。该版本修复了之前所有版本中存在的漏洞,我们建议您立即升级到该版本。
WordPress 4.7以及早前版本受到了以下8个安全漏洞的影响:
- PHPMailer中存在的远程代码执行漏洞(Remote code execution (RCE) in PHPMailer) – 目前该漏洞尚未对 WordPress 及主流插件造成任何确切的影响。但是出于谨慎考虑,我们在此新版本中对 PHPMailer 模块进行了升级。这是由 Dawid Golunski 和 Paul Buonopane 发现并向 PHPMailer 报告的漏洞。
- REST API 会向已被授权访问文章类型或其他公开文章类型的所有用户暴露用户数据(The REST API exposed user data for all users who had authored a post of a public post type)。WordPress 4.7.1 对该权限做了限制,只向授权允许访问同样文章类型的用户开放用户数据。该漏洞由 Krogsgard 和 Chris Jean 报告。
- 由插件名称或者 update-code.php 文件中版本标头引起的跨站脚本攻击漏洞(Cross-site scripting (XSS) via the plugin name or version header on
update-core.php)。该漏洞由WordPress安全团队的 Dominik Schilling 报告。 - 通过上传 Flash 文件引起的跨站点请求伪造攻击(Cross-site request forgery (CSRF) bypass via uploading a Flash file)。该漏洞由 Abdullah Hussam.报告。
- 因主题名称回滚引起的跨站攻击(Cross-site scripting (XSS) via theme name fallback)。该漏洞由 Mehmet Ince 报告。
- 通过邮件发表文章时,如果默认设置没有修改,则检查 mail.example.com (Post via email checks
mail.example.comif default settings aren’t changed)。该漏洞由 WordPress 安全团队的 John Blackbourn 报告。 - 在可访问模式下编辑挂件(小工具)时存在跨站点请求伪造攻击(A cross-site request forgery (CSRF) was discovered in the accessibility mode of widget editing)。该漏洞由 Ronnie Skansing 报告。
- 多站点激活密钥的加密安全薄弱(Weak cryptographic security for multisite activation key)。该漏洞由 Jack 报告。
除了以上的安全漏洞,WordPress 4.7.1 还修复了 62 个漏洞。要了解这些信息,可以查看 WorPress 4.7.1 的发布说明。
新用户可以点击这里下载WordPress 4.7.1,已经安装WordPress用户可以通过WordPress的控制台直接点击“立即更新”按钮进行升级。网站升级之前请务必做好备份。