官方核心团队刚刚发布了重要的安全更新版本 WordPress 6.0.3 ,在此更新版本中修复了几处安全漏洞。因为 WordPress 6.1 即将正式发布,所以6.0.3中没有任何功能升级或增加。
WordPress 6.0.3 包含的安全更新
- 通过 wp-mail.php 存储的 XSS(通过电子邮件发布)– Mitsui Bussan Secure Directions, Inc. 的 Toshitsugu Yoneyama,通过 JPCERT
- 在 `wp_nonce_ays` 中打开重定向 – devrayn
- 发件人的电子邮件地址在 wp-mail.php 中公开 – Mitsui Bussan Secure Directions, Inc. 的 Toshitsugu Yoneyama 通过 JPCERT
- 媒体库——通过 SQLi 反射的 XSS——来自 WordPress 安全团队的 Ben Bidner 和来自 Automattic 的 Marc Montpas 独立发现了这个问题
- wp-trackback.php 中的 CSRF – Simon Scannell
- 通过定制器存储的 XSS – 来自 WordPress 安全团队的 Alex Concha
- 恢复50790中引入的共享用户实例——来自 WordPress 安全团队的 Alex Concha 和 Ben Bidner
- 通过评论编辑将 XSS 存储在 WordPress Core 中——第三方安全审计和来自 WordPress 安全团队的 Alex Concha
- 通过 REST 术语/标签端点的数据暴露——比 Taintor
- 多部分电子邮件的内容泄露——Thomas Kräftner
- 由于 `WP_Date_Query` 中的不当清理导致 SQL 注入 – Michael Mazzolini
- RSS Widget:存储的 XSS 问题 – 第三方安全审计
- 将 XSS 存储在搜索块中——WP 安全团队的 Alex Concha
- 特征图像块:XSS 问题 – 第三方安全审计
- RSS Block: Stored XSS issue – 第三方安全审计
- 修复小部件阻止 XSS – 第三方安全审计
更新包列表
@wordpress/block-directory: 3.4.15 @wordpress/block-library: 7.3.15 @wordpress/customize-widgets: 3.3.15 @wordpress/edit-post: 6.3.15 @wordpress/edit-site: 4.3.15 @wordpress/edit-widgets: 4.3.15 @wordpress/widgets: 2.4.11
修订的文件清单
src/wp-admin/about.php src/wp-admin/includes/ajax-actions.php src/wp-admin/includes/post.php src/wp-includes/blocks/legacy-widget.php src/wp-includes/blocks/navigation.php src/wp-includes/blocks/post-featured-image.php src/wp-includes/blocks/rss.php src/wp-includes/blocks/search.php src/wp-includes/blocks/widget-group.php src/wp-includes/class-wp-date-query.php src/wp-includes/class-wp-query.php src/wp-includes/comment.php src/wp-includes/customize/class-wp-customize-header-image-control.php src/wp-includes/customize/class-wp-customize-site-icon-control.php src/wp-includes/deprecated.php src/wp-includes/functions.php src/wp-includes/media-template.php src/wp-includes/pluggable.php src/wp-includes/post.php src/wp-includes/rest-api/endpoints/class-wp-rest-attachments-controller.php src/wp-includes/rest-api/endpoints/class-wp-rest-terms-controller.php src/wp-includes/user.php src/wp-includes/version.php src/wp-includes/widgets.php src/wp-mail.php src/wp-trackback.php
除非注明,否则均为站长帮原创文章,禁止任何形式转载。
声明:
1.本站大部分内容均收集于网络!若内容若侵犯到您的权益,请发送邮件至:ceo@zunw.cn,我们将第一时间处理!
2.资源所需价格并非资源售卖价格,是收集、整理、编辑详情以及本站运营的适当补贴,并且本站不提供任何免费技术支持
3.所有资源仅限于参考和学习,版权归原作者所有,更多请阅读网站声明。
