WordPress 4.7.1 安全修復升級版本發佈

WordPress 4.7.1 安全修復升級版本發佈

WordPress 4.7.1 安全修復升級版本發佈

自從WordPress 4.7於2016年12月6日發佈之後,其下載次數已經超過1000萬次了。前幾天,WordPress開發團隊發佈了WordPress 4.7.1安全修復升級版本。該版本修復了之前所有版本中存在的漏洞,我們建議您立即升級到該版本。

WordPress 4.7以及早前版本受到了以下8個安全漏洞的影響:

  1. PHPMailer中存在的遠程代碼執行漏洞(Remote code execution (RCE) in PHPMailer) – 目前該漏洞尚未對WordPress及主流外掛造成任何確切的影響。但是出於謹慎考慮,我們在此新版本中對PHPMailer模組進行了升級。這是由 Dawid Golunski 和 Paul Buonopane發現並向PHPMailer報告的漏洞。
  2. REST API會向已被授權訪問文章類型或其他公開文章類型的所有用戶暴露用戶數據(The REST API exposed user data for all users who had authored a post of a public post type)。WordPress 4.7.1對該權限做了限制,只向授權允許訪問同樣文章類型的用戶開放用戶數據。該漏洞由  Krogsgard 和  Chris Jean報告。
  3. 由外掛名稱或者update-code.php文件中版本標頭引起的跨站腳本攻擊漏洞(Cross-site scripting (XSS) via the plugin name or version header on 該漏洞由WordPress安全團隊的Dominik Schilling報告。 update-core.php)。
  4. 通過上傳Flash文件引起的跨站點請求偽造攻擊(Cross-site request forgery (CSRF) bypass via uploading a Flash file)。該漏洞由Abdullah Hussam .報告。
  5. 因主題名稱回滾引起的跨站攻擊(Cross-site scripting (XSS) via theme name fallback)。該漏洞由Mehmet Ince 報告。
  6. 通過郵件發表文章時,如果默認設置沒有修改,則檢查mail.example.com(Post via email checks  if default settings aren’t changed)。該漏洞由WordPress安全團隊的John Blackbourn報告。 mail.example.com
  7. 在可訪問模式下編輯小工具時存在跨站點請求偽造攻擊(A cross-site request forgery (CSRF) was discovered in the accessibility mode of widget editing)。該漏洞由Ronnie Skansing報告。
  8. 多站點激活密鑰的加密安全薄弱(Weak cryptographic security for multisite activation key)。該漏洞由Jack報告。

除了以上的安全漏洞,WordPress 4.7.1還修復了62個漏洞。要了解這些資訊,可以查看WorPress 4.7.1的發佈說明。

新用戶可以點擊這裡下載WordPress 4.7.1,已經安裝WordPress用戶可以通過WordPress的控制台直接點擊“立即更新”按鈕進行升級。網站升級之前請務必做好備份。


Techroomage Seo SEO TechRoomage 提供專業白帽 Search Engine Optimization (SEO) 服務與 Responsive Web Design (RWD) 響應式網頁設計,透過完善的服務幫助客戶建立高品質網站與後續強大的網路行銷。

發表迴響

你的電子郵件位址並不會被公開。 必要欄位標記為 *