WordPress 4.2.2修复默认主题跨站攻击漏洞

    WordPress     Discussion

根据外媒arstechnica援引国外安全研究机构sucuri.net的报告称,WordPress 的默认主题TwentyFourteen存在跨站攻击漏洞。此漏洞允许攻击者使用该主题内置的一个ico图标生成文件(genericons)来进行攻 击,研究机构称,漏洞来自此ico图标生成文件,所以任何应用了此功能的主题或者插件都受到了影响,目前已知的有默认主题TwentyFourteen和 插件jetpack(安装次数超过100万)受此影响。

WordPress 默认主题漏洞

漏洞文件
该漏洞的验证地址如下:
WordPress 默认主题漏洞
安全人员建议开启网站防火墙的WAF攻击防御措施来抵御此攻击。当然彻底修复该漏洞的方法也很简单,直接删除目录genericons即可避免。

WordPress 默认主题漏洞

目前GoDaddy、DreamHost等主机商和公司已经主动修复该漏洞,截至发稿前从官方网站下载的最新版WordPress4.2.2已修复改漏洞。

Editor: CySnap; Tags: ,

DISCUSSION

  

(So you agree with the rules)