WordPress內容管理系統(CMS)剛剛發布了更新——4.2.3版本,修復一個嚴重的、影響數百萬網站的安全漏洞。
WordPress上存在XSS漏洞
WordPress 團隊於周二在其博客中寫道,Wordpress 4.2.3版本修復了一個跨站腳本(XSS)漏洞,擁有作者權限、投稿者權限的用戶都可以利用該漏洞入侵網站。
跨站腳本(XSS)漏洞確實是web應用程序中的一個漏洞,大多發生在有針對性的網絡攻擊中。跨站腳本(XSS)漏洞也是近來比較受網絡犯罪者推崇的一個漏洞。
攻擊者可以利用該漏洞在web應用程序中嵌入惡意HTML、javascript、Flash等,繞過wordpress的kses防護,然後在其系統上執行惡意腳本。
執行惡意腳本不是最終目的,搜集用戶敏感信息才是初衷,在惡意腳本執行之後,系統上存儲的cookies都會被攻擊者竊取(呵呵,它一般也就是竊取用戶的信息吧……)。然而wordpress公司並沒有公布具體的漏洞細節。
請立即更新你的WordPress CMS
4.2.2版本之前的wordpress均存在該漏洞,強烈建議CMS用戶盡快將其wordpress更新到4.2.3版本(最新版),另外還建議用戶啟用自動更新功能。
