2022年WordPress最新安全漏洞怎么处理?(附详细修复方法)

2022年WordPress最新安全漏洞怎么处理?(附详细修复方法),WordPress 核心漏洞攻击数百万个网站,WordPress 公布了由核心开发团队自己引入的高威胁级别漏洞

WordPress 宣布已经修复了四个漏洞,从 1 到 10 评分高达 8。这些漏洞位于 WordPress 核心本身中,是由于 WordPress 开发团队本身引入的缺陷造成的。

四个 WordPress 漏洞

WordPress 公告没有详细说明漏洞的严重程度,而且细节也很少。

然而,记录和公布漏洞的美国政府国家漏洞数据库以 1 到 10 的等级将漏洞评为高达 8.0,其中 10 代表最高危险级别。

这四个漏洞是:

  1. 由于 WP_Meta_Query 中缺乏数据清理而导致的 SQL 注入(严重级别被评为高,7.4)
  2. 多站点中的经过身份验证的对象注入(严重级别为中 6.6)
  3. 通过经过身份验证的用户存储的跨站点脚本 (XSS)(严重性级别为高,8.0)
  4. 由于不正确的清理,通过 WP_Query 进行 SQL 注入(严重级别被评为高,8.0)

四分之三的漏洞是由 WordPress 之外的安全研究人员发现的。WordPress 直到收到通知才知道。

这些漏洞是私下向 WordPress 披露的,这使得 WordPress 能够在问题广为人知之前解决这些问题。

WordPress 开发以一种危险的方式进行?

WordPress 的开发在 2021 年放缓,因为他们无法完成最新版本 5.9 的工作,该版本的WordPress 推迟到了 2022 年晚些时候

由于担心跟上的能力,WordPress 内部一直在谈论放慢开发速度。

WordPress 核心开发人员自己在 2021 年末就开发速度发出了警报,请求更多时间。

其中一位开发人员警告说

“总的来说,现在我们似乎正在以一种危险的方式匆忙行事。”

鉴于 WordPress 无法遵守自己的发布计划,并且正在讨论将 2022 年的发布日历从四个版本缩减到三个,人们不得不质疑 WordPress 的开发速度,以及是否应该做出更多努力来确保漏洞不会无意中发布到公众。

WordPress中的数据清理问题

数据清理是控制通过输入进入数据库的信息类型的方法。数据库是保存站点信息的东西,包括密码、用户名、用户信息、内容和站点运行所必需的其他信息。

WordPress 文档描述了数据清理:

“清理是清理或过滤输入数据的过程。无论数据是来自用户还是 API 或 Web 服务,当您不知道会发生什么或不想严格进行数据验证时,您都会使用清理。”

文档指出,WordPress 提供了内置的辅助函数来防止恶意输入,并且使用这些辅助函数需要最少的努力。

WordPress 预测了 16 种输入漏洞,并提供了阻止它们的解决方案。

所以令人惊讶的是,输入清理问题仍然出现在 WordPress 本身的核心中。

有两个与不当清理有关的高级漏洞:

  • WordPress:由于 WP_Meta_Query 中的不正确清理导致 SQL 注入由于 WP_Meta_Query
    中缺乏适当的清理,存在盲 SQL 注入的可能性
  • WordPress:通过 WP_Query
    进行SQL 注入由于WP_Query 中的清理不当,在某些情况下,可以通过以某种方式使用它的插件或主题进行 SQL 注入。

其他漏洞是:

  • WordPress:
    多站点中的经过身份验证的对象注入在多站点上,具有超级管理员角色的用户可以在某些条件下通过对象注入绕过显式/附加强化。
  • WordPress:通过身份验证用户存储 XSS
    WordPress 核心中的低权限身份验证用户(如作者)能够执行 JavaScript/执行存储 XSS 攻击,这可能会影响高权限用户。

WordPress 建议立即更新

因为这些漏洞现在已经公开,所以 WordPress 用户确保他们的 WordPress 安装更新到最新版本很重要,目前是 5.8.3。

WordPress 5.8.3 安全版本

此安全版本具有四个安全修复程序。因为这是一个安全版本,所以建议您立即更新您的站点。自 WordPress 3.7 以来的所有版本也已更新。

WordPress 5.8.3 是一个短周期安全版本。下一个主要版本将是5.9版,它已经处于候选发布阶段。

您可以通过从 WordPress.org 下载或访问您的仪表板 → 更新并单击立即更新来更新到 WordPress 5.8.3。

如果您有支持自动后台更新的网站,他们已经开始了更新过程。

安全更新

四个安全问题影响 3.7 和 5.8 之间的 WordPress 版本。如果您尚未更新到 5.8,那么自 3.7 起的所有 WordPress 版本也已更新以修复以下安全问题(除非另有说明):

  • 向 SonarSource 的 Karim El Ouerghemmi 和 Simon Scannell 提供支持,以通过 post slug 披露存储的 XSS 的问题。
  • 支持SonarSource 的Simon Scannell报告某些多站点安装中的对象注入问题。
  • 来自GiaoHangTietKiem JSC 的ngocnb 和 khuyenn与趋势科技零日倡议合作报告 WP_Query 中的 SQL 注入漏洞的道具。
  • 来自 WordPress 安全团队的 Ben Bidner 报告 WP_Meta_Query 中的 SQL 注入漏洞的道具(仅与版本 4.1-5.8 相关)。

以上就是[2022年WordPress最新安全漏洞怎么处理?(附详细修复方法)]的相关内容

声明:此文版权归原作者所有,若有来源错误或者侵犯您的合法权益,您可通过邮箱与我们取得联系,我们将及时进行处理。邮箱地址:3580805300#qq.com #请换成@

您可能还喜欢...

发表回复

您的电子邮箱地址不会被公开。 必填项已用*标注