WordPress 4.7.1 安全修復升級版本發布

WordPress 4.7.1 安全修復升級版本發布
WordPress 4.7.1 安全修復升級版本發布

自從WordPress 4.7於2016年12月6日發布之後,其下載次數已經超過1000萬次了。昨天,WordPress開發團隊發布了WordPress 4.7.1安全修復升級版本。該版本修復了之前所有版本中存在的漏洞,我們建議您立即升級到該版本。

WordPress 4.7以及早前版本受到了以下8個安全漏洞的影響:

  1. PHPMailer中存在的遠程代碼執行漏洞(Remote code execution (RCE) in PHPMailer) – 目前該漏洞尚未對 WordPress 及主流插件造成任何確切的影響。但是出於謹慎考慮,我們在此新版本中對 PHPMailer 模塊進行了升級。這是由 Dawid Golunski Paul Buonopane 發現並向 PHPMailer 報告的漏洞。
  2. REST API 會向已被授權訪問文章類型或其他公開文章類型的所有用戶暴露用戶數據(The REST API exposed user data for all users who had authored a post of a public post type)。WordPress 4.7.1 對該許可權做了限制,只向授權允許訪問同樣文章類型的用戶開放用戶數據。該漏洞由  Krogsgard 和 Chris Jean 報告。
  3. 由插件名稱或者 update-code.php 文件中版本標頭引起的跨站腳本攻擊漏洞(Cross-site scripting (XSS) via the plugin name or version header on update-core.php)。該漏洞由WordPress安全團隊的 Dominik Schilling 報告。
  4. 通過上傳 Flash 文件引起的跨站點請求偽造攻擊(Cross-site request forgery (CSRF) bypass via uploading a Flash file)。該漏洞由 Abdullah Hussam.報告。
  5. 因主題名稱回滾引起的跨站攻擊(Cross-site scripting (XSS) via theme name fallback)。該漏洞由 Mehmet Ince  報告。
  6. 通過郵件發表文章時,如果默認設置沒有修改,則檢查 mail.example.com (Post via email checks mail.example.com if default settings aren』t changed)。該漏洞由 WordPress 安全團隊的 John Blackbourn 報告。
  7. 在可訪問模式下編輯掛件(小工具)時存在跨站點請求偽造攻擊(A cross-site request forgery (CSRF) was discovered in the accessibility mode of widget editing)。該漏洞由 Ronnie Skansing 報告。
  8. 多站點激活密鑰的加密安全薄弱(Weak cryptographic security for multisite activation key)。該漏洞由 Jack 報告。

除了以上的安全漏洞,WordPress 4.7.1 還修復了 62 個漏洞。要了解這些信息,可以查看 WorPress 4.7.1 的發布說明

新用戶可以點擊這裡下載WordPress 4.7.1,已經安裝WordPress用戶可以通過WordPress的控制台直接點擊「立即更新」按鈕進行升級。網站升級之前請務必做好備份。


Techroomage Seo SEO TechRoomage 提供專業白帽 Search Engine Optimization (SEO) 服務與 Responsive Web Design (RWD) 響應式網頁設計,透過完善的服務幫助客戶建立高品質網站與後續強大的網路行銷。

發表迴響

你的電子郵件位址並不會被公開。 必要欄位標記為 *