WordPress XSS跨站脚本漏洞影响多个著名插件

分享本文:
xss
请为本文打分

昨天,WordPress团队发布了WP 4.1.2安全更新版本,修补了WP 4.1.1以及之前版本中存在的一个严重的跨站脚本漏洞,并建议网友立即更新到此版本。除此之外,许多著名的WordPress插件也受此漏洞影响而中枪。

这次暴露的WordPress XSS漏洞(Cross-site Scripting,跨站脚本漏洞),是因为许多WP插件开发者不当使用 add_query_arg()remove_query_arg() 函数而引起的;而这些插件开发者之所以使用不当这两个函数,是由于WordPress官方文档中对这两个函数的描述不是很清晰。

XSS漏洞

在WordPress团队在发布安全更新版本WordPress 4.1.2的同时,网络安全公司Sucuri和Joost(大名鼎鼎的SEO by Yoast插件作者)还检查了WordPress官方插件库中排名靠前的插件。在检查了大约400个插件之后,发现至少有以下10多个插件受到XSS漏洞影响。

到目前为止,以上插件已经都已经发布了相应的安全更新版本,修复了XSS漏洞问题。

与WordPress插件目录中37,000个插件相比,400只是个很小的数字。因此,其他的很多插件仍然有可能受到这个漏洞的影响。

对于WordPress普通用户而言,现在所需要做的就是升级你的WordPress网站核心程序以及插件;尤其是关闭了WordPress自动更新功能的用户,请在WordPress后台手动更新。当然,千万别忘了做好备份

对于WordPress开发者而言,请及时检查你的插件,是否收到了此次漏洞的影响。WordPress开发团队撰写了一篇文章,教你如何修复XSS漏洞问题

请为本文打分
分享本文:


评论: WordPress XSS跨站脚本漏洞影响多个著名插件

发表一下评论

电子邮件地址不会被公开。 必填项已用*标注

Menu Title