WordPress宣布它已经修补了四个漏洞,这些漏洞在1到10级的评分中高达8分。这些漏洞是在WordPress核心本身,是由WordPress开发团队自己引入的缺陷造成的。
四个WordPress漏洞
WordPress的公告没有详细说明这些漏洞有多严重,而且细节也不多。然而,美国政府国家漏洞数据库记录并公布了这些漏洞,在1到10的范围内,这些漏洞被评为高达8.0,10代表最高的危险程度。
这四个漏洞是
- 由于WP_Meta_Query中缺乏数据处理,导致SQL注入(严重程度被评为高,7.4)
- 多站点中的验证对象注入(严重程度被评为中等 6.6)
- 通过认证用户的存储跨网站脚本(XSS)(严重程度被评为高,8.0)
- 通过WP_Query的SQL注入,由于不恰当的处理(严重程度被评为高,8.0)。
四个漏洞中的三个是由WordPress之外的安全研究人员发现的。WordPress在接到通知之前并不知情。这些漏洞被私下透露给了WordPress,这使得WordPress能够在它们被广泛了解之前修复这些问题。
WordPress开发以一种危险的方式匆忙进行?
WordPress的开发在2021年放缓了,因为他们无法完成最新版本5.9的工作,这使得该版本的WordPress被推到2022年晚些时候。
在WordPress内部一直有关于放慢开发速度的讨论,因为担心能否跟上。WordPress的核心开发人员自己在2021年底对开发的速度提出了警告,恳求给予更多的时间。
其中一名开发者警告说。
“总的来说,现在看来,我们正在以一种危险的方式匆忙行事。”
鉴于WordPress不能遵守它自己的发布时间表,并且正在讨论将他们2022年的发布日历从四个版本缩减到三个版本,人们不得不质疑WordPress的发展速度,以及是否应该做出更多努力来确保漏洞不会被无意中发布给公众。
WordPress中的数据净化处理问题
数据净化是控制什么样的信息通过输入并进入数据库的方法。数据库是保存网站信息的地方,包括密码、用户名、用户信息、内容以及网站运行所需的其他信息。
WordPress文档描述了数据净化。
“净化处理是清理或过滤你的输入数据的过程。无论数据是来自用户还是API或网络服务,当你不知道会发生什么,或者你不想对数据进行严格的验证时,你就会使用进化处理。”
文档中说,WordPress提供了内置的辅助函数来保护恶意输入,使用这些辅助函数只需要最小的努力。
WordPress预见了十六种输入漏洞,并提供了阻止它们的解决方案。所以,令人惊讶的是,输入净化的问题仍然出现在WordPress本身的核心部分。
有两个高水平的漏洞与不适当的净化处理有关。
- WordPress。由于WP_Meta_Query中不适当的净化处理导致的SQL注入,由于WP_Meta_Query中缺乏适当的净化处理,有可能出现盲目的SQL注入
- WordPress: 通过WP_Query的SQL注入 通过WP_Query的SQL注入,由于WP_Query中不适当的净化,可能会出现通过以某种方式使用它的插件或主题进行SQL注入的情况。
其他漏洞有
- WordPress。多站点中的验证对象注入在多站点上,具有超级管理员角色的用户可以在某些条件下通过对象注入绕过明确/附加的加固。
- WordPress: 储存的XSS 通过认证用户的存储XSS WordPress核心中的低权限认证用户(如作者)能够执行JavaScript/执行存储的XSS攻击,这可能影响高权限用户。
WordPress建议立即进行更新
由于这些漏洞现在是公开的,重要的是WordPress用户要确保他们的WordPress安装更新到最新版本,目前是5.8.3。WordPress建议立即更新安装。
暂无评论内容