WordPress 发现 XSS 漏洞 – 建议更新至 6.5.2

WordPress 宣布了 6.5.2 维护和安全版本更新,该更新修补了一个商店跨站脚本漏洞,并修复了核心和块编辑器中的十几个错误。

同样的漏洞会影响 WordPress 核心和 Gutenberg 插件。

跨站点脚本 (XSS)

在 WordPress 中发现一个 XSS 漏洞,该漏洞可能允许攻击者将脚本注入网站,然后攻击这些页面的网站访问者。

XSS漏洞有三种,但在WordPress插件、主题和WordPress本身中最常见的是反射XSS和存储的XSS。

反射式 XSS 要求受害者单击链接,这是一个额外的步骤,使这种攻击更难发起。

存储的 XSS 是更令人担忧的变体,因为它利用了一个缺陷,允许攻击者将脚本上传到易受攻击的站点,然后可以对站点访问者发起攻击。在WordPress中发现的漏洞是存储的XSS。

威胁本身在一定程度上得到了缓解,因为这是一个经过身份验证的存储 XSS,这意味着攻击者需要首先获得至少一个贡献者级别的权限,才能利用使漏洞成为可能的网站缺陷。

此漏洞被评为中级威胁,通用漏洞评分系统 (CVSS) 得分为 6.4(1 – 10 分)。

Wordfence 描述了该漏洞:

“WordPress Core 容易受到 Avatar 块中用户显示名称的存储跨站点脚本的影响,在各种版本中,最高可达 6.5.2,因为显示名称的输出转义不足。这使得经过身份验证的攻击者,具有贡献者级别及以上的访问权限,可以在页面中注入任意 Web 脚本,每当用户访问注入的页面时,这些脚本就会执行。

WordPress.org 建议立即更新

本文摘自网络,不代表短经典网立场 https://www.duanjingdian.com/159.html

上一篇 2024 年 4 月 10 日 下午3:17
下一篇 2024 年 4 月 11 日 上午10:10

相关推荐

  • WordPress网站维护时,怎样临时关闭?

    1、备份网站数据: 使用WordPress的导出功能创建一个完整的备份,您可以在“工具”菜单下的“导出”选项中找到此功能。 确保将备份文件保存到安全的位置,以便在需要时可以轻松恢复…

    WordPress 2024 年 4 月 28 日
    236
  • WordPress用了哪些开发语言?

    WordPress是一个使用PHP语言编写的开源内容管理系统(CMS),以下是关于WordPress使用的详细信息: 1、前端: HTML:WordPress使用HTML标记语言来…

    WordPress 2024 年 4 月 28 日
    246
  • WordPress WP_Query使用方法汇总

    WP_Query是一个非常强大的工具,以下是一些常见的WP_Query使用方法: 基本查询: $args = array('post_type' => 'post','cat…

    WordPress 2024 年 4 月 21 日
    307
  • WordPress根目录下的xmlrpc.php可以删除吗?

    可能很多朋友不知道这个xmlrpc.php是什么,简单地说就是Wordpress 为手机等客户端提供的接口文件,早期的Wordpress 这个接口就是个万恶之源,虽然经过多次的升级…

    WordPress 2024 年 4 月 26 日
    195
  • 如何禁止WordPress头部加载s.w.org?

    s.w.org 是 WordPress 的一个开源 JavaScript 库,称为 "jQuery Varia",它包含了一些 jQuery 的扩展函数,这个库通常被包含在 Wor…

    WordPress 2024 年 4 月 19 日
    239
  • WordPress内链插件,Yoast SEO、All in One SEO Pack

    有很多插件可以在WordPress中自动为关键词添加内链,Yoast SEO、All in One SEO Pack等。 如Yoast SEO为例: 步骤1:访问WordPress…

    WordPress 2024 年 4 月 28 日
    371
  • wordpress怎样通过当前文章ID获取标题和简介

    在WordPress中,通过当前文章的ID获取文章标题和内容简介是一个常见的需求,这可以通过使用WordPress内置的全局变量 $post 和相关函数来实现,以下是详细的技术教学…

    WordPress 2024 年 4 月 19 日
    306
  • WordPres利用插件备份MySQL数据库

    使用 UpdraftPlus 备份数据库: 安装插件:登录 WordPress 管理后台。导航至插件菜单。搜索 “UpdraftPlus” 插件。点击“安装”并激活插件。配置备份设…

    2024 年 4 月 18 日
    300
  • WordPress获取标签(tag)的一些常用函数

    WordPress 提供了许多用于获取标签(tags)的函数,让开发者可以轻松地在主题中显示相关标签信息。 以下是一些常用的 WordPress 获取标签的函数: 1. `get_…

    WordPress 2024 年 4 月 26 日
    321
  • wordpress自定义导航栏

    1、登录到WordPress后台 打开你的WordPress网站,并登录到后台管理界面。 2、进入外观设置 在左侧导航栏中,点击"外观"选项,然后选择"菜单"。 3、创建主导航菜单…

    WordPress 2024 年 4 月 27 日
    255