WordPress Core 5.4.2版本剛剛發布。由於此版本被標記為安全和錯誤修復的合併更新,因此我們建議儘快進行更新。話雖如此,大多數安全修復程序本身都是針對需要特定情況才能利用的漏洞的。此版本的所有版本總共包含6個安全修復程序,其中3個針對XSS(跨站點腳本)漏洞。Wordence的免費版和高級版都有強大的內置XSS保護,可以防止潛在利用這些漏洞。
每個安全問題的細分
一個XSS問題,具有低特權的經過身份驗證的用戶可以在塊編輯器中將JavaScript添加到帖子中
這個缺陷使攻擊者可以通過操縱Embedded iFrame的屬性將JavaScript注入帖子中。具有該edit_posts功能的用戶可以利用此功能,這意味著在大多數配置中具有貢獻者角色或更高級別的用戶。
有問題的變更集是:https :
//core.trac.wordpress.org/changeset/47947/
此問題由Sam Thomas(jazzy2fives)發現並報告。
XSS問題,具有上傳許可權的經過身份驗證的用戶能夠將JavaScript添加到媒體文件
此缺陷使攻擊者有可能將JavaScript注入到上載媒體文件的「描述」欄位中。具有此upload_files功能的用戶可以利用此功能,這意味著在大多數配置中具有「作者」角色或更高級別的用戶。
有問題的變更集是:https :
//core.trac.wordpress.org/changeset/47948/
Luigi發現並報告了此問題–(gubello.me)
的公開重定向問題 wp_validate_redirect()
對於此缺陷,該wp_validate_redirect函數無法充分清理提供給它的URL。這樣,在某些情況下,攻擊者就有可能製作到受影響站點的鏈接,該鏈接會將訪問者重定向到惡意外部站點。這不需要特定的功能,但是通常需要使用社交工程或插件或主題中的單獨漏洞才能利用。
有問題的變更集是:https :
//core.trac.wordpress.org/changeset/47949/
WordPress安全團隊的Ben Bidner發現並報告了此問題。
通過主題上傳驗證的XSS問題
此缺陷使攻擊者有可能將JavaScript注入破碎主題的樣式表名稱中,如果另一個用戶訪問了站點的Appearance-> Themes頁面,則將執行該缺陷。具有install_themes或edit_themes功能的用戶可以利用此功能,只有大多數配置中的管理員才能使用。
有問題的變更集是:https :
//core.trac.wordpress.org/changeset/47950/
Nrimo Ing Pandum發現並報告了此問題
其中一個問題set-screen-option可以通過插件導致提升許可權被濫用
對於此缺陷,set-screen-option攻擊者可能會潛在地使用錯誤地使用過濾器保存任意或敏感選項的插件來獲得管理訪問許可權。我們目前不知道任何容易受到此問題影響的插件。
有問題的變更集是:https :
//core.trac.wordpress.org/changeset/47951/
RIPS Technologies的Simon Scannell發現並報告了此問題
在某些情況下可能顯示受密碼保護的帖子和頁面的評論的問題
對於此漏洞,在顯示「最近評論」窗口小部件或使用具有類似功能的插件或主題的網站上可能會看到受密碼保護的帖子的評論摘錄。
有問題的變更集是:https :
//core.trac.wordpress.org/changeset/47984/
此問題由Carolina Nymark發現並報告
注意:這與以下問題無關,在該問題中,未經審核的垃圾郵件評論可以短暫地顯示在搜索引擎中並可以將其編入索引。
我該怎麼辦?
這些漏洞中的大多數似乎只能在有限的情況下或由受信任的用戶利用,但我們建議儘快進行更新。攻擊者可能會找到更輕鬆地利用它們的方法,或者發現這些漏洞的研究人員可能會發布允許更簡單利用的概念證明代碼。這是WordPress的次要版本,因此大多數網站將自動更新到新版本。
結論
我們要感謝WordPress核心團隊和發現並負責任地報告了這些漏洞的研究人員,這些漏洞使WordPress更加安全。
您可以在此頁面上找到WP 5.4.2發行版的正式公告。如果您有任何疑問或意見,請不要猶豫,將其發布在下面,我們將儘力及時答覆。如果您是其中包括上述工作的研究人員之一,並且想提供更多細節或更正,我們歡迎您提出意見。