新闻链接：http://www.seehand.com/news/857.html
   新闻时间：2015-07-28
   新闻正文：
WordPress在7月23日上午发布新版本的内容管理系统（CMS），解决了严重的跨站点脚本（XSS）漏洞，该漏洞可能会导致网站受到攻击。

Automattic公司（WordPress母公司）的工程师Gary Pendergast称，XSS漏洞可能会被标记为“贡献者”或“作者”的用户利用。虽然该漏洞的细节未被公开，但WordPress警告说，攻击者有可能通过该漏洞完全劫持该站点。由于所有版本的CMS均是易被攻击的，该公司强烈建议站长们将网站立即更新至最新的版本（4.2.3）。

该更新也包括大量的其他补丁，包括针对Check Point安全公司的研究人员发现的bug，该漏洞能使订阅者通过CMS的快速起草机制创建博文。该更新还集成了4.2版本平台的20个bug。

两位WordPress流行插件的开发者这周宣布，他们在本月早些时候解决了他们产品中的漏洞。这些漏洞本来能使运行该插件的网站执行恶意代码，导致敏感信息被窃，甚至被完全控制。

瑞士安全公司High-Tech Bridge的研究人员发现了这些问题——一批XSS和SQL漏洞，并在周三进行了披露。

SQL注入漏洞存在于WordPress计数插件Count Per Day之中，直至近期该插件仍可从WordPress.org插件目录下载。该问题源于对数据输入的不充分筛选，能使攻击者控制SQL查询，也可注入并执行程序数据库中的恶意SQL命令。High-Tech Bridge公司警告说，如果不对该漏洞进行修复，会使攻击者获得对敏感信息的控制，并攻陷整个网站。

然而，插件的开发者Tom Braider很快地解决了该问题，并事实上在同一天发布了补丁。虽然该插件的最新版本3.4.1在本周早期已从WordPress插件目录移除——Braider称存在许可上的小问题——该插件仍可从他的个人网站上下载。

High-Tech Bridge发现的第二个问题得到了Paid Memberships Pro公司的认可，该插件能帮助网络开发者限制网页的访问。该插件已经被下载过40000余次，受一系列XSS漏洞的影响。这些漏洞源于输入检查问题，能使远程攻击者欺骗管理员打开恶意链接。从而，攻击者能够“在显示有漏洞的网站的浏览器中执行恶意HTML和脚本代码”，High-Tech Bridge公司称。该漏洞存在于插件控制板的PMPro设置页面中。

Paid Memberships Pro公司的管理员Jason Coleman说，该问题已在1.8.4.3版本的插件中解决，该版本已在7月8日发布。

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)