Just 3 days after the release of WordPress 4.2, a security researcher found a Zero day XSS Vulnerability that affects WordPress 4.2, 4.1.2, 4.1.1, 4.1.3, and 3.9.3. This allows an attacker to inject JavaScript into comments and hack your site. WordPress team responded fast and fixed the security issue in WordPress 4.2.1, and we strongly recommend that you update your sites immediately.
WordPress 4.2发布后仅三天,一名安全研究人员发现了零日XSS漏洞,该漏洞会影响WordPress 4.2、4.1.2、4.1.1、4.1.3和3.9.3。 这使攻击者可以将JavaScript注入注释中并入侵您的网站。 WordPress团队快速响应并修复了WordPress 4.2.1中的安全性问题,我们强烈建议您立即更新您的网站。
Klikki Oy 的安全研究员 Jouko Pynnönen 报告了该问题,并将其描述为:
Klikki Oy 的安全研究员 Jouko Pynnönen 报告了该问题,并将其描述为:
如果由登录管理员触发,在默认设置下,攻击者可以利用该漏洞通过插件和主题编辑器在服务器上任意执行代码。
如果由登录管理员触发,在默认设置下,攻击者可以利用此漏洞通过插件和主题编辑器在服务器上执行任意代码。
或者,攻击者可以更改管理员的密码,创建新的管理员帐户,或者执行当前登录的管理员可以在目标系统上执行的任何其他操作。
或者,攻击者可以更改管理员的密码、创建新的管理员帐户或执行当前登录的管理员可以在目标系统上执行的任何其他操作。
这一特定漏洞与 Cedric Van Bockhaven 报告的漏洞类似,该漏洞已在 WordPress 4.1.2 安全版本中修复。
这一特定漏洞与 Cedric Van Bockhaven 报告的漏洞类似,该漏洞已在 WordPress 4.1.2 安全版本中修复。
不幸的是,他们没有使用适当的安全披露,而是在其网站上公开发布了该漏洞。这意味着那些不升级网站的人将面临严重的风险。
不幸的是,他们没有使用适当的安全披露,而是在网站上公开发布了该漏洞。这意味着那些不升级网站的人将面临严重的风险。
更新: We have learned, that they tried contacting WordPress security team but failed to get a timely response.
更新:我们了解到,他们尝试与WordPress安全团队联系,但未能及时得到答复。
If you haven’t 禁用自动更新, then your site will automatically update.
如果您尚未禁用自动更新 ,则您的网站将自动更新。
Once again, we strongly advise that you update your site to WordPress 4.2.1. Make sure to 备份您的网站 before you update.
再次强烈建议您将网站更新为WordPress 4.2.1。 确保在更新前备份您的网站 。