WordPress爆XSS高危漏洞提醒及时修复

最新推荐文章于 2024-04-09 09:23:17 发布

weixin_33979203

最新推荐文章于 2024-04-09 09:23:17 发布

阅读量236

点赞数

CC 4.0 BY-SA版权

文章标签： php python javascript ViewUI

原文链接：https://my.oschina.net/safedog/blog/483572

WordPress发布4.2.3版本，修复了影响数百万网站的XSS高危漏洞。该漏洞允许拥有作者权限的用户进行网站入侵。建议用户尽快更新。

2019独角兽企业重金招聘Python工程师标准>>>

WordPress内容管理系统（CMS）发布更新4.2.3版本，修复一个严重的、影响数百万网站的XSS高危漏洞。拥有作者权限、投稿者权限的用户都可以利用该漏洞入侵网站。

WordPress 团队于周二在其博客中写道，Wordpress 4.2.3版本修复了一个跨站脚本（XSS）漏洞，拥有作者权限、投稿者权限的用户都可以利用该漏洞入侵网站。

跨站脚本（XSS）漏洞确实是web应用程序中的一个漏洞，大多发生在有针对性的网络攻击中。跨站脚本（XSS）漏洞也是近来比较受网络犯罪者推崇的一个漏洞。

攻击者可以利用该漏洞在web应用程序中嵌入恶意HTML、javascript、Flash等，绕过wordpress的kses防护，然后在其系统上执行恶意脚本。

执行恶意脚本不是最终目的，搜集用户敏感信息才是初衷，在恶意脚本执行之后，系统上存储的cookies都会被攻击者窃取。然而wordpress公司并没有公布具体的漏洞细节。

4.2.2版本之前的wordpress均存在该漏洞，强烈建议CMS用户尽快将其wordpress更新到最新4.2.3版本，另外还建议用户启用自动更新功能。

现在请立即更新你的WordPress CMS

转载于:https://my.oschina.net/safedog/blog/483572

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

weixin_33979203

关注关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

Web中间件常见安全漏洞总结

qq_40907977的博客

08-14

6991

IIS IIS是Internet Information Services的缩写，意为互联网信息服务，是由微软公司提供的基于运行Microsoft Windows的互联网基本服务。IIS目前只适用于Windows系统，不适用于其他操作系统。解析漏洞 IIS 6.X 基于文件名该版本默认会将 *.asp;.jpg 此种格式的文件名，当成Asp解析，原理是服务器默认不解析; 号及其后面的内容，相当于截断。基于文件夹名该版本默认会将 *.asp/目录下的所有文件当成Asp解析。另外，IIS6.

wordpress漏洞_WordPress XSS漏洞可能导致远程执行代码（RCE）

weixin_39636610的博客

12-12

1076

原作者： Ziyahan Albeniz在2019年3月13日，专注于静态代码分析软件的RIPS科技公司发布了他们在所有版本的WordPress 5.1.1中发现的跨站点脚本(XSS)漏洞的详细信息。该漏洞已在不同类别的各种网站上公布。有些人将其归类为跨站点请求伪造(CSRF)漏洞，而其他人则将其正确归类为XSS。在本文中，我们将分析此WordPress XSS漏洞(编号为CVE-2019-988...

参与评论您还未登录，请先登录后发表或查看评论

php 跨站漏洞修复,WordPress跨站（XSS）漏洞修复

weixin_42110469的博客

03-24

305

这几天用百度的安全联盟检测，发现网站有XSS漏洞，下面放出解决方法(存档用)打开wp-includes\query.php，在文件处开始添加去除xss的函数//清除跨站漏洞function xss_clean($data){// Fix &entity\n;$data = str_replace(array('&',''), array('&','<','>')...

wordpresss-插件XSS漏洞复现

飞鱼的企鹅的博客

07-21

1790

前言 wordpress是使用PHP语言开发的博客平台，用户可以在支持PHP和MySql的数据库上架设属于自己的网站。同其它的CMS一样，他也有许多插件可以供使用，本文主要讲Ninja Forms 3.3.17的XSS漏洞（CVE-2018-19287）复现环境搭建先去官网下载相应版本的wordpress，网址：https://cn.wordpress.org/download/release...

漏洞预警：WordPress 储存型 XSS 漏洞

weixin_33843947的博客

11-02

194

2017年10月19日，WordPress 官方发布了一条安全通告表示在4.8.1版本中发现了一个存储型的XSS漏洞，通过该漏洞，攻击者可以在受影响网站的评论区写下包含恶意代码的留言，当该留言页面被打开时，其中的恶意代码会执行，导致该网站的权限，插件等被更改，甚至被完全控制，安全风险为高危。目前WordPress是全球装机量比较大的CMS系统，建议...

WordPress 最新版存在XSS和路径遍历漏洞，请快修补！

nani1114的博客

09-10

3418

WordPress敦促网站站长们更新他们的CMS包，越快越好，以保护其域名免遭关键漏洞攻击。上周四，最新版WordPress （4.6.1）的内容管理系统（CMS）提供商发布了安全公告，更新的系统存在两个严重漏洞——一个跨站脚本漏洞和一个路径遍历漏洞，并发布了可用的补丁。 1.XSS漏洞 Sumofpwn研究员Cengiz Han早在七月的夏季赏金项目中发现了该漏洞，它允许攻击者使用

CVE-2021-39348 WordPress LearnPress插件XSS漏洞复现

灵墟精_lxj的博客

12-16

3575

WordPress的LearnPress插件（LearnPress < 4.1.3.2版本）中存在一个xss漏洞。本文将从搭建wordpress开始，复现CVE-2021-39348这个漏洞。

wordpress5.5漏洞

12-28

### WordPress 5.5 安全漏洞详情与修复方法 #### 漏洞详情 WordPress 5.5 版本发布于2020年8月，作为一次重要更新引入了许多新特性和改进措施。尽管如此，在后续使用过程中仍然发现了若干安全问题。其中较为严重的...

wordpress典型漏洞复现

02-12

尽管官方不断更新修复已知漏洞，但由于插件生态系统的庞大以及部分老旧版本的存在，仍然可能存在一些安全隐患。 #### 插件引起的任意文件上传漏洞某些第三方开发的插件可能引入高危风险。例如，在`WP File ...

php网站如何让他爆版本漏洞

最新发布

07-29

扫描结果应优先处理高危漏洞（如CVSS评分≥7.0）[^3]。 #### 步骤4: 手动验证和漏洞利用测试自动化扫描后，手动测试确认漏洞是否存在并评估影响。 - **解析漏洞测试**：尝试上传恶意文件（如`test.php%00.jpg`），...

漏洞扫描技术

2301_77302602的博客

04-09

2112

在漏洞扫描技术实验中，我使用了Kali Linux这个专门用于渗透测试和漏洞评估的操作系统。通过这次实验，我学到了许多关于漏洞扫描的知识和技术。首先，我了解了什么是漏洞扫描。漏洞扫描是指通过扫描目标系统中的漏洞，发现系统中可能存在的安全问题。这些安全问题可以是软件漏洞、配置错误、密码弱点等。漏洞扫描可以帮助我们及早发现并修补系统中存在的安全漏洞，提高系统的安全性。在实验中，我使用了Kali Linux中的一些工具来进行漏洞扫描。其中最常用的工具包括Nmap和OpenVAS。

WordPress 4.2.1 –安全版本修复了零日XSS漏洞–立即更新

cumohuo9136的博客

09-13

267

xss安全漏洞 .netJust 3 days after the release of WordPress 4.2, a security researcher found a Zero day XSS Vulnerability that affects WordPress 4.2, 4.1.2, 4.1.1, 4.1.3, and 3.9.3. This allows an attacker...

php防止跨脚本攻击,PHP防止XSS跨站脚本攻击修复方法的2种方法

weixin_36081891的博客

03-11

630

什么叫XSS跨站攻击漏洞？专业理论性的解释我也懒得说，自己去百度。我就举个实际的例子来说明这玩意的危害好了！就拿之前WordPress留言来举例好了。默认状态下，WordPress是不允许带颜色评论的，但是我们可以通过在functions.php里面插入这2行代码，强行允许评论开放所有HTML代码：//允许评论开放所有html代码remove_action('init','kses_init'...

360安全检测出的WordPress漏洞的修复方法

weixin_30772261的博客

06-20

159

1、跨站脚本攻击（XSS）这个漏洞注意是因为用户评论可以提交代码，有安全风险。虽然你的WordPress以及是最新版，但是你的WordPress主题却不一定跟着更新！因此，需要稍微修改一下评论相关的php模板文件，如comment-ajax.php、comments-ajax.php。 $comment_type = '';//这是原有的，下面的是新增的，不允许提交恶意代码 if ...

Wordpress 插件出现漏洞，网站可能被攻击者接管

cpongo5

02-13

290

开发四年只会写业务代码，分布式高并发都不会还做程序员？ >>> 据安全研究人员警告，因旧版 Word...

提高WordPress安全性的5个方法

Rain

10-09

3696

无论你的网站规模是大还是小，丢失站点数据，或是无法管理你自己的站点，都会让你神经紧绷。WordPress驱动着全世界25%的Web，对于黑客来说，WordPress网站是他们最重要的目标之一。在这篇文章中，我们将会讨论一些加强WordPress安全性的小tip。 1. Bcrypt密码散列 WordPress成立于2003年，那时PHP和Web还刚刚起步。那

特斯拉被曝6大漏洞官方回应称已着手修复

weixin_33979363的博客

02-22

143

特斯拉最近不太开心。上周五有外媒报道称，网络安全公司Lookout的研究人员表示，特斯拉的Model S车型存在6个明显的漏洞，最严重可能让黑客控制汽车，威胁用户的驾驶安全。 Lookout和Cloudflare的两位负责人表示，之所以选择特斯拉进行安全破解，是因为特斯拉在软件安全方面的认知要好于大多数传统汽车生产商。具体的侵入过程和方法在拉斯...

php 跨站脚本攻击漏洞,PHP跨站脚本攻击(XSS)漏洞修复思路（二）

weixin_42300721的博客

03-10

732

上一篇文章《PHP跨站脚本攻击(XSS)漏洞修复方法(一)》写到了360修复XSS漏洞的插件并不完善的问题，那么这篇文章就来分享一下自己如何写代码修补这个漏洞。从上一篇文章看出，部署了360出的XSS修复插件之后，至少还存在iframe无法过滤缺憾，是否还有其他纰漏目前还不得而知。分析一下中国博客联盟和张戈博客已开放的数据入口：①、中国博客联盟，主要有搜索、后台博客提交等；②、张戈博客(WordP...

WordPress4.8.1版本存在XSS跨站攻击漏洞

weixin_34258078的博客

10-26

435

2017年10月19日，阿里云安全威胁情报系统监测到WordPress 官方发布了一条安全通告表示在4.8.1版本中发现了一个存储型的XSS漏洞，通过该漏洞，攻击者可以在受影响网站的评论区写下包含恶意代码的留言，当该留言页面被打开时，其中的恶意代码会执行，导致该网站的权限，插件等被更改，甚至被完全控制，安全风险为高危。阿里云安全建议站长们关注，并尽快开...

360发现Ecshop会员中心严重XSS漏洞修复方法

在360安全扫描中发现了一个严重级别的漏洞，涉及到的是Ecshop（一个开源电子商务系统）的会员中心存在XSS（跨站脚本攻击）漏洞。...及时修复漏洞，并保持系统更新到最新版本以获取官方的安全补丁，以减少潜在的风险。

WordPress爆XSS高危漏洞 提醒及时修复

WordPress爆XSS高危漏洞提醒及时修复