WordPress默默地修复了危险的代码注入漏洞
广泛使用的WordPress内容管理系统的开发人员上周发布了更新,但故意延迟宣布修补程序讨论了严重漏洞。
WordPress版本4.7.2于1月26日发布为安全更新,但随附的发行说明只提到了三个中等风险漏洞的修复,其中一个甚至不会影响平台的核心代码。
周三,一周后,WordPress安全团队披露第四次漏洞,比其他人更严重,也在版本4.7.2中修补。
来自网络安全公司Sucuri的研究人员发现了该漏洞,并于1月20日私下向WordPress团队私下举报。它位于平台“S REST API(应用程序编程接口)中,并允许未经身份验证的攻击者修改WordPress站点中的任何帖子或页面的内容。
“我们认为透明度是公众的最佳利益,”WordPress Core Developer Aaron Campbell周三在博客帖子中表示。“我们的立场应该始终披露安全问题。在这种情况下,我们故意延迟将此问题延迟一周,以确保数百万额外的WordPress网站的安全性。“
根据Campbell的说法,在了解缺陷之后,WordPress开发人员向维护受欢迎的Web应用程序防火墙(WAFS)的安全公司达到了安全的公司,以便他们可以部署防止可能的漏洞保护规则。然后,他们联系了大号WordPress主办公司,并建议他们如何在释放官方补丁之前为其客户实施保护。
漏洞仅影响WordPress 4.7和4.7.1,默认情况下启用REST API。即使它们具有REST API插件,旧版本不受影响。
“我们还要感谢与我们密切合作的WAFS和主机,以增加额外的保护,并监控他们的系统以试图在野外使用这一漏洞,”Campbell说。“截至今天,我们的知识,并没有试图利用野外的这种脆弱性。”
虽然这是好消息,但它并不意味着攻击者赢得了现在信息已经开始的攻击性。WordPress是最受欢迎的网站建筑平台,这使其成为黑客的非常有吸引力的目标。
网站管理员应确保他们将WordPress网站更新为4.7.2版,如果他们尚未完成。
