知名内容管理系统WordPress已经发布4.8.2安全维护版本有一段时间了,该版本主要修复多个组件中存在的安全漏洞。
这些问题涉及到以前发布的所有旧版本,建议大家进行升级!
基于安全考虑建议使用WordPress的站点尽快升级至最新版本, 新版本已经加强了对第三方插件漏洞的防御。
另外本次更新后文本小工具已经可以识别HTML代码, 但是使用文本小工具添加HTML代码在前台不会显示。
因此如果你需要在前台展示HTML代码侧边栏请更新至 v4.8 版以上使用自定义HTML代码小工具栏进行添加。
WordPress v4.8.2安全维护版本现已发布
WordPress v4.8.2更新日志:
1、某个函数可能导致潜在的SQL注入, 尽管WordPress不容易受该漏洞影响,但其他插件可能会影响;
2、新版本已经加强了对第三方插件存在的漏洞进行防御,同时还会对主题存在的漏洞进行安全防御;
3、该版本已经修复oEmbed中发现的XSS跨站脚本攻击漏洞,由WordPress安全小组xKnown提交;
4、该版本已经修复可视化编辑器中的XSS跨站脚本攻击漏洞,由Rodolfo Assis提交该漏洞;
5、该版本已经修复文件解压过程中存在的遍历路径漏洞,该漏洞由Alex Chapman提交;
6、该版本已经修复在插件编辑器中存在的XSS跨站脚本攻击漏洞,该漏洞由陈瑞奇提交;
7、该版本已经修复用户和术语编辑界面存在的某个重定向问题,该问题由Yasin Soliman提交;
8、该版本已经修复定制程序中存在的遍历路径漏洞,该漏洞由WordPress安全小组Weston Ruter提交;
9、该版本已经修复模板名称中存在的XSS跨站脚本攻击漏洞,该漏洞由Luka提交;
10、该版本已经修复动态链接库中存在的XSS跨站脚本攻击漏洞,该漏洞由Anas Roubi提交;
除了上述的安全问题,WordPress 4.8.2 还包含了4.8版本系列的6处维护修复。
除此之外WordPress v4.8.2版还将Twemoji升级到v2.5.0版,该版本已经解决了部分Emoji表情的渲染问题。
更多信息,请参阅 发行说明 或 更新列表。
目前WordPress v4.8.2 简体中文版本尚未发布,有兴趣的用户可关注WordPress官方中文版查看最新动态。
或者你可以在 仪表盘 -- 更新 界面,一键更新到最新版本,或者到官方下载后手动更新:https://wordpress.org/download/
看完上述安全问题后,吓得我立马打开博客更新了
最后,程序多更新,才能保证网站不被恶意攻击。虽然更新后也有其他的一些问题,但总比不更新前安全一点