WordPress开发团队周五发布了WordPress 3.3.2,以解决流行博客平台中的几个漏洞以及默认绑定的三个外部库。
新的WordPress版本在上周开发者修补了跨站点请求伪造(CSRF)漏洞之后,将捆绑的Plupload库更新为版本1.5.4。
Plupload是一个灵活的上传处理库,支持各种运行时,包括HTML5,Flash,Silverlight,Gears和BrowserPlus。它在默认情况下在WordPress中用于上传媒体文件。
[更多阅读:如何从Windows PC中删除恶意软件]另外两个库中也提到了几个安全bug,分别称为SWFUpload和SWFObject,过去分别用于媒体文件上传和Flash嵌入
即使WordPress不再使用这些库,它们仍默认随平台一起提供,以保持与旧版主题和依赖它们的插件的向后兼容性。
在WordPress新版本中,WordPress网站开发人员在新闻稿中称,在过滤URL或在老版浏览器中发布评论后重定向用户时,可能会利用两个跨站点脚本(XSS)漏洞笔记
具有有限影响的特权升级漏洞,可由站点管理员在特定情况下运行WordPress网络时取消激活整个网络插件对于黑客来说,WordPress是一个常见目标,他们利用过时安装中的漏洞将恶意代码注入到由平台提供支持的网站中。最近受到600,000台Mac计算机感染的Flashback恶意软件是通过从受损WordPress网站发起的基于Web的攻击发布的。
安全研究人员建议网站所有者保持其WordPress安装和所有相关插件和主题的最新版本一直。 WordPress 3.3.2更新应自动出现在管理仪表板的“更新”菜单下,但用户也可以执行手动更新
