请升级你的 WordPress

作者: admin 分类: 技术分享 发布时间: 2015-05-09 17:37 ė 6没有评论

请所有使用三号主机的 WordPress 用户尽快升级到最新版本!

WordPress官方在4月21日发布了新的版本4.1.2,其中提到修复了一个严重的存储型XSS漏洞。不久之后便有人给出了漏洞的细节。而安全研究团队Klikki Oy发现在,新版本(<=4.2)的Wordpress中仍然可以利用该漏洞。 这次的XSS漏洞出现在wordpress的留言处,不过问题是由mysql的一个特性引起的。在mysql的utf8字符集中,一个字符由1~3个字节组成,对于大于3个字节的字符,mysql使用了utf8mb4的形式来存储。如果我们将一个utf8mb4字符插入到utf8编码的列中,那么在mysql的非strict mode下,他的做法是将后面的内容截断。 此次漏洞较为严重,可能会导致 WordPress 数据被篡改,添加恶意文件,甚至获取权限!请所有wordpress用户尽快升级至最新版本!

本文出自 LiFang,转载时请注明出处及相应链接。

本文永久链接: http://lifang.net.cn/update-wordpress.html

发表评论

电子邮件地址不会被公开。 必填项已用*标注

Ɣ回顶部