WordPress 的 4.7.5 今天发布了修复六个安全问题。如果您管理多个网站,你可能已经看到自动更新通知,今天晚上降落在你的收件箱。安全释放是以前的所有版本和 WordPress 是建议立即更新。运行速度比 3.7 老版本的网站将需要手动更新。
在 4.7.5 补丁的漏洞在释放柱记五种不同的政党分别负责披露 WordPress 的安全团队。这些措施包括以下内容:
- 在 HTTP 类不足重定向验证
- 后元数据值的处理不当的 XML-RPC 的 API
- 缺乏能力检查的 XML-RPC API 在后元数据
- 跨站请求伪造 (CRSF) 漏洞是在文件系统凭据对话框发现
- 尝试上载非常大的文件时,跨站点脚本 (XSS) 漏洞被发现
- 跨站点脚本 (XSS) 漏洞被发现相关的定制
几个的漏洞报告来自于 HackerOne 安全研究人员。在最近的一次采访中 HackerOne,WordPress 的安全团队负责人艾伦·坎贝尔说,自从小组已在报告秒杀公开推出其错误赏金计划。
「在报告的体积增加是剧烈预期,也是我们的团队真的没有了移动计划在公众面前,以处理任何无效的报告,」 坎贝尔说。 「黑客信誉系统的动态真的发挥了作用,第一次,这真的很有趣,在其中找出如何最好的作品。」
如果 WordPress 的继续维持对其新 HackerOne 帐户报告相同的体积,用户可能会看到在未来更频繁的安全版本。
WordPress 的 4.7.5 还包括维护修复了一把。退房变化的完整列表,了解更多详情。
发表回复