WordPress 4.2惊现存储型跨站脚本漏洞，正在修复中

WordPress 4.2新版本刚刚发布不久，一个0day组织宣布在WordPress 4.2，4.1.2，4.1.1，3.9.3等版本中发现存储型跨站脚本漏洞（Stored XSS）。利用这一漏洞，未经允许的攻击者可以在评论中插入JavaScript代码。WordPress用户可以安装Akismet反垃圾评论插件阻止这类攻击；也可以暂时关闭网站的评论功能，等待WordPress团队发布更新补丁。

曝光这一WordPress 4.2 XSS漏洞的黑客组织Klikki，他们还发布了一段视频演示了如何利用这一系统漏洞。

如果（留言中的JavaScript脚本）攻击代码被管理员激活，在WordPress默认设置下，攻击者可以利用插件编辑器或主题编辑器来执行任意代码。

此外，攻击者还可以修改管理员密码，创建新的管理员账户，并且能够执行WordPress管理员所允许的任意操作。

这一种攻击方式，与Cedric报告的另一漏洞很相像，后者已经被WordPress 4.1.2版本修复。在这两个漏洞中，攻击者都是发布超长的评论，超出了MySQL数据库文本类型的长度限制，因此被MySQL截断后存储的在数据库中。

截断的结果，就是是页面中出现变形的HTML。攻击者可以引用HTML允许标签的任意属性，最近两次存储型跨站脚本漏洞影响WordPress核心代码的方式一样。

在这两个例子中，植入的JavaScript脚本无法在WordPress后台内执行，因此这类攻击者通常都会发布一条正常无害的评论，以求得以后的评论可以正常出现在WordPress网站前台中。

WordPress 4.2的升级版本估计很快就会发布。目前，WP没有宣布发布新版本的预期日期，不过在等待的过程中，有几个办法可以帮你来降低网站的风险。

最好的办法是安装Akismet插件，该服务最近修改了配置，来屏蔽这类攻击，或者用来关闭评论功能。

此外，WordPress用户还可以临时禁止评论功能，直到WordPress官方团队发布正式的更新版本。