WordPress敦促网站站长们更新他们的CMS包,越快越好,以保护其域名免遭关键漏洞攻击。
上周四,最新版WordPress (4.6.1)的内容管理系统(CMS)提供商发布了安全公告,更新的系统存在两个严重漏洞——一个跨站脚本漏洞和一个路径遍历漏洞,并发布了可用的补丁。
1.XSS漏洞
Sumofpwn研究员Cengiz Han早在七月的夏季赏金项目中发现了该漏洞,它允许攻击者使用手制的图像文件,上传到WordPress并将恶意JavaScript代码注入其中。
攻击者可以利用此漏洞来执行一系列的行动,比如窃取会话令牌和登录凭据,以及远程执行恶意代码。
2. 路径遍历漏洞
Dominik Schilling从WordPress的安全团队报告,在升级包上传器(uploader)中发现一个路径遍历漏洞发现。
WordPress在4.6.1版修补了这些漏洞,但所有早期版本的CMS都很容易被利用。CMS提供商也修理了WordPress 4.6的另外15个漏洞,包括邮件服务器设置出错、缩略图显示异常、插件安装无限循环等问题。
早在六月,安全研究人员就警告过,WP移动探测器插件发现有0day漏洞,超过10000家WordPress网站都处在0day的威胁之中。
本文由漏洞银行(BUGBANK.cn)小编Feya 编译,源文译自 zdnet.com
来源:漏洞银行
链接:http://www.bugbank.cn/news/detail/57d2a615b90548a0267f5819.html
著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。