根据官方统计,自 WordPress 4.7 正式版本发布以来,目前已经有 1400 多万次下载,今天 WordPress开发团队发布了 WordPress 4.7.1 版本,这是一个安全更新版本,建议大家立即升级!
WordPress 4.7.1 版本主要修复了以下8个安全问题:
- 在 PHPMailer 中的远程代码执行(RCE)漏洞。
- REST API 公开了已撰写过公开文章类型的所有用户的用户数据。 WordPress 4.7.1 将此限制为仅在REST API中指定显示的文章类型。
- 通过update-core.php上的插件名称或版本标头的跨站点脚本(XSS)。
- 通过上传Flash文件绕过的跨站点请求伪造(CSRF)。
- 通过主题名称回调(fallback)的跨站点脚本(XSS)。
- 如果未更改默认设置,通过检查mail.example.com进行邮件发布文章。
- 在小工具编辑的辅助功能方式中发现了跨站点请求伪造(CSRF)。
- 较弱的多站点激活密钥的加密安全性。
此外,WordPress 4.7.1 版本还修复了 4.7 版本以来的 62 个bugs,要了解更多详情,可以查看 发行日志 或者 更新列表。
WordPress 4.7.1 版本目前已经在后台推送更新,建议大家马上进行升级!
