WordPress 最新版存在XSS和路径遍历漏洞，请快修补！

WordPress敦促网站站长们更新他们的CMS包，越快越好，以保护其域名免遭关键漏洞攻击。

上周四，最新版WordPress （4.6.1）的内容管理系统（CMS）提供商发布了安全公告，更新的系统存在两个严重漏洞——一个跨站脚本漏洞和一个路径遍历漏洞，并发布了可用的补丁。

1.XSS漏洞

Sumofpwn研究员Cengiz Han早在七月的夏季赏金项目中发现了该漏洞，它允许攻击者使用手制的图像文件，上传到WordPress并将恶意JavaScript代码注入其中。

攻击者可以利用此漏洞来执行一系列的行动，比如窃取会话令牌和登录凭据，以及远程执行恶意代码。

2. 路径遍历漏洞

Dominik Schilling从WordPress的安全团队报告，在升级包上传器（uploader）中发现一个路径遍历漏洞发现。

WordPress在4.6.1版修补了这些漏洞，但所有早期版本的CMS都很容易被利用。CMS提供商也修理了WordPress 4.6的另外15个漏洞，包括邮件服务器设置出错、缩略图显示异常、插件安装无限循环等问题。

早在六月，安全研究人员就警告过，WP移动探测器插件发现有0day漏洞，超过10000家WordPress网站都处在0day的威胁之中。

本文由漏洞银行（BUGBANK.cn)小编Feya 编译，源文译自 zdnet.com

来源：漏洞银行
链接：http://www.bugbank.cn/news/detail/57d2a615b90548a0267f5819.html
著作权归作者所有。商业转载请联系作者获得授权，非商业转载请注明出处。