WordPress宣布了安全性和维护版本5.8.1版。更新WordPress,尤其是第5.4到5.8的顺序修复了三个安全问题。
WordPress 5.8.1安全性和维护版本
这对WordPress或任何软件来说并不罕见要在主要版本更新后发布错误修复更新,以修复不可预见的问题以及介绍未及时介绍主要版本的改进。
在WordPress这些更新中称为维护版本。
此更新还包括安全更新,这对于WordPress核心有点不常见。这使得此更新比典型的维护版本更重要。
广告联网读数下面
WordPress SecuRity问题已修复
WordPress 5.8.1修复了三种漏洞:
在Gutenberg块Editorpiple中的RED Apicross-Site脚本(XSS)漏洞中的数据曝光漏洞在高度严重程度至关重要Lodash JavaScript库中的漏洞涉及上述三个漏洞是关于WordPress公告,请立即更新WordPress安装。 REST API漏洞
WordPress REST API是一个接口这允许插件和主题与WordPress核心交互。
REST API是安全漏洞的源,包括最近与
Gutenberg模板库和Redux框架漏洞
影响一百万个网站。
下面的广告传票读数此漏洞被描述为数据曝光漏洞,这意味着可以揭示敏感信息。此时没有其他细节关于什么样的信息,但它可能像密码一样严重,可以用于通过另一个漏洞才能挂起攻击的数据。
跨站点脚本(XSS)漏洞相对频繁地发生。每当有用户输入类似于联系人或电子邮件形式的用户输入时,它们都可能发生,任何不“消毒”的输入,以防止可以在WordPress安装中触发可能触发不需要的行为的脚本。
打开Web应用程序安全项目(OWASP)描述了X的潜在SS漏洞:
“攻击者可以使用XSS将恶意脚本发送到毫无戒心的用户。最终用户的浏览器无法知道脚本不应该信任,并且将执行脚本。
因为它认为脚本来自可信的源,恶意脚本可以访问任何cookie,会话令牌或者浏览器保留并与该站点一起使用的其他敏感信息。这些脚本甚至可以重写HTML页面的内容。“
此特定漏洞会影响Gutenberg块编辑器。
WordPress Lodash JavaScript库漏洞
WordPress Lodash JavaScript库漏洞
这些漏洞可能是最多的。 Lodash JavaScript库是开发人员使用的一组脚本已发现T已有多种漏洞。
美国国土安全赞助CVE列表网站详细信息该漏洞:“4.17.21之前的Lodash版本易于通过模板函数命令注射。” 似乎许多其他漏洞也影响了4.1.7分支中的Lodash库。 WordPress敦促立即更新 这些安全漏洞增加了对此更新的紧迫感。所有发布商都是通过WordPress更新的。官方WordPress公告建议更新: “”因为这是一个安全发行版,建议您立即更新您的网站。由于WordPress 5.4的所有版本也已更新。“ 引文 WordPress 5.8.1安全性和维护释放 CVE LODASH漏洞描述CVE-2021-23337
