WordPress的4.7.5今天发布了修复六个安全问题。如果您管理多个网站,你可能已经看到自动更新通知,今天晚上降落在你的收件箱。安全释放是以前的所有版本和WordPress是建议立即更新。运行速度比3.7老版本的网站将需要手动更新。
在4.7.5补丁的漏洞在释放柱记五种不同的政党分别负责披露WordPress的安全团队。这些措施包括以下内容:
- 在HTTP类不足重定向验证
- 后元数据值的处理不当的XML-RPC的API
- 缺乏能力检查的XML-RPC API在后元数据
- 跨站请求伪造(CRSF)漏洞是在文件系统凭据对话框发现
- 尝试上载非常大的文件时,跨站点脚本(XSS)漏洞被发现
- 跨站点脚本(XSS)漏洞被发现相关的定制
几个的漏洞报告来自于HackerOne安全研究人员。在最近的一次采访中HackerOne,WordPress的安全团队负责人艾伦·坎贝尔说,自从小组已在报告秒杀公开推出其错误赏金计划。
“在报告的体积增加是剧烈预期,也是我们的团队真的没有了移动计划在公众面前,以处理任何无效的报告,”坎贝尔说。“黑客信誉系统的动态真的发挥了作用,第一次,这真的很有趣,在其中找出如何最好的作品。”
如果WordPress的继续维持对其新HackerOne帐户报告相同的体积,用户可能会看到在未来更频繁的安全版本。
WordPress的4.7.5还包括维护修复了一把。退房变化的完整列表,了解更多详情。
