WordPress 发现 XSS 漏洞 – 建议更新至 6.5.2

WordPress 宣布了 6.5.2 维护和安全版本更新,该更新修补了一个商店跨站脚本漏洞,并修复了核心和块编辑器中的十几个错误。

同样的漏洞会影响 WordPress 核心和 Gutenberg 插件。

跨站点脚本 (XSS)

在 WordPress 中发现一个 XSS 漏洞,该漏洞可能允许攻击者将脚本注入网站,然后攻击这些页面的网站访问者。

XSS漏洞有三种,但在WordPress插件、主题和WordPress本身中最常见的是反射XSS和存储的XSS。

反射式 XSS 要求受害者单击链接,这是一个额外的步骤,使这种攻击更难发起。

存储的 XSS 是更令人担忧的变体,因为它利用了一个缺陷,允许攻击者将脚本上传到易受攻击的站点,然后可以对站点访问者发起攻击。在WordPress中发现的漏洞是存储的XSS。

威胁本身在一定程度上得到了缓解,因为这是一个经过身份验证的存储 XSS,这意味着攻击者需要首先获得至少一个贡献者级别的权限,才能利用使漏洞成为可能的网站缺陷。

此漏洞被评为中级威胁,通用漏洞评分系统 (CVSS) 得分为 6.4(1 – 10 分)。

Wordfence 描述了该漏洞:

“WordPress Core 容易受到 Avatar 块中用户显示名称的存储跨站点脚本的影响,在各种版本中,最高可达 6.5.2,因为显示名称的输出转义不足。这使得经过身份验证的攻击者,具有贡献者级别及以上的访问权限,可以在页面中注入任意 Web 脚本,每当用户访问注入的页面时,这些脚本就会执行。

WordPress.org 建议立即更新

本文摘自网络,不代表短经典网立场 https://www.duanjingdian.com/159.html

上一篇 2024 年 4 月 10 日 下午3:17
下一篇 2024 年 4 月 11 日 上午10:10

相关推荐

  • WordPres利用插件备份MySQL数据库

    使用 UpdraftPlus 备份数据库: 安装插件:登录 WordPress 管理后台。导航至插件菜单。搜索 “UpdraftPlus” 插件。点击“安装”并激活插件。配置备份设…

    2024 年 4 月 18 日
    288
  • 为何我选择使用WordPress搭建网站?

    在当今数字化时代,拥有一个强大、功能丰富的网站对于企业的成功至关重要。而在众多的网站建设平台中,WordPress凭借其卓越的性能和灵活性成为全球最受欢迎的选择之一。本文将探讨为什…

    2024 年 4 月 16 日
    236
  • WordPress如何实现网站防盗链?

    除了在服务器端实现网站防盗链之外,WordPress如何实现网站防盗链? 1、什么是防盗链? 防盗链是一种防止其他网站直接引用自己网站上的资源的技术手段。 常见的资源包括图片、视频…

    2024 年 4 月 16 日
    297
  • 如何批量删除WordPress中的待审评论?

    好久没有管过自己的博客了,今年不知怎么,准备将建网站的兴趣拿回来,于是又将这个博客重新还原了,还好数据都在。 结果登录后台一看,评论被灌了2万多条,点击评论管理,加载就花费了好一会…

    2024 年 4 月 9 日
    246
  • nginx环境优化wordpress

    1、使用Nginx作为反向代理服务器 安装Nginx并配置为WordPress的反向代理服务器。 修改Nginx配置文件,将请求转发到WordPress所在的服务器。 2、启用Gz…

    WordPress 2024 年 4 月 28 日
    314
  • WordPress根目录下的xmlrpc.php可以删除吗?

    可能很多朋友不知道这个xmlrpc.php是什么,简单地说就是Wordpress 为手机等客户端提供的接口文件,早期的Wordpress 这个接口就是个万恶之源,虽然经过多次的升级…

    WordPress 2024 年 4 月 26 日
    189
  • WordPress限制标题长度的方法

    在WordPress中,你可以使用多种方法来限制文章标题的长度。这些方法包括使用代码片段或插件: 使用函数限制标题长度:你可以在主题的functions.php文件中添加以下代码来…

    WordPress 2024 年 4 月 22 日
    234
  • 如何优化wordpress主机内存?

    优化WordPress主机内存的方法有很多,以下是一些建议: 1、选择合适的主机方案 如何优化wordpress主机内存? (wordpress主机内存) 选择适合您网站需求的主机…

    2024 年 4 月 16 日
    227
  • 在外部怎样调用WordPress的文章?

    通过调用 wp-load.php 文件获取wordpress主要功能的。wp-load.php加载了Wordpress本身和它所有的程序开发接口(API),装载后就可以在自己的程序…

    WordPress 2024 年 4 月 21 日
    227
  • WordPress后台一键升级需设置ftp的解决方法

    每当我们想在wordpress上升级插件或者是升级wordpress的时候,就会弹出一个ftp登录,怎样解决? 解决方法 编辑配置文件wp-config.php 在最后一行下面添加…

    WordPress 2024 年 4 月 26 日
    270