一站式SEO Pack插件补丁XSS漏洞

一站式搜索引擎优化包 本周修复了一个XSS漏洞, 发现 根据WordPress.org的说法,Wordfence的安全研究人员于7月10日发布了这个流行的插件。

Wordfence研究人员将其归类为“中等严重性安全问题”,可能会导致“完整的网站接管和其他严重后果:”

此缺陷使具有贡献者级别访问权限或更高权限的经过身份验证的用户能够注入恶意脚本,如果受害者访问wp-admin面板的“所有帖子”页面,该恶意脚本将被执行。

2020年7月15日发布的版本3.6.2在更改日志中包含以下更新:“改进了SEO元字段的输出+添加了额外的清理措施以加强安全性。”

强烈建议SEO Pack中的所有用户更新到最新版本。 在发布时,该插件的用户群中只有12%运行的是3.6.x版,其中包括三个最新版本。 这使超过170万安装(占插件用户的88%)容易受到攻击。

许多用户没有足够频繁地登录其WordPress网站以及时了解安全更新。 插件作者通常不会在其网站或社交媒体上宣传此更新的重要性。 WordPress 5.5可以缓解这种情况,因为它在仪表板中引入了管理控件,允许用户启用主题和插件的自动更新。

像这样:

喜欢加载中……

相关文章