WordPress 的 4.7.5 今天發佈了修復六個安全問題。如果您管理多個網站,你可能已經看到自動更新通知,今天晚上降落在你的收件箱。安全釋放是以前的所有版本和 WordPress 是建議立即更新。運行速度比 3.7 老版本的網站將需要手動更新。
在 4.7.5 補丁的漏洞在釋放柱記五種不同的政黨分別負責披露 WordPress 的安全團隊。這些措施包括以下內容:
- 在 HTTP 類不足重定向驗證
- 後元數據值的處理不當的 XML-RPC 的 API
- 缺乏能力檢查的 XML-RPC API 在後元數據
- 跨站請求偽造 (CRSF) 漏洞是在文件系統憑據對話框發現
- 嘗試上載非常大的文件時,跨站點腳本 (XSS) 漏洞被發現
- 跨站點腳本 (XSS) 漏洞被發現相關的定製
幾個的漏洞報告來自於 HackerOne 安全研究人員。在最近的一次採訪中 HackerOne,WordPress 的安全團隊負責人艾倫·坎貝爾説,自從小組已在報告秒殺公開推出其錯誤賞金計劃。
「在報告的體積增加是劇烈預期,也是我們的團隊真的沒有了移動計劃在公眾面前,以處理任何無效的報告,」 坎貝爾説。 「黑客信譽系統的動態真的發揮了作用,第一次,這真的很有趣,在其中找出如何最好的作品。」
如果 WordPress 的繼續維持對其新 HackerOne 帳户報告相同的體積,用户可能會看到在未來更頻繁的安全版本。
WordPress 的 4.7.5 還包括維護修復了一把。退房變化的完整列表,瞭解更多詳情。
發表回覆