WordPress 5.0.1現已推出。這是自WordPress 3.7以來所有版本的安全版本。我們強烈建議您立即更新您的網站。WordPress 5.0及更早版本受到以下問題的影響,這些問題在5.0.1版中得到修復。對於尚未更新到5.0的用戶,還可以小版本更新,比如 4.9.8 可以更新到 4.9.9。
- 作者角色可以改變元數據以刪除他們未被授權的文件。
- 作者角色可以使用特製輸入創建未經授權的文章類型的文章。
- 貢獻者角色可以通過PHP對象注入的方式製作元數據。
- 貢獻者角色可以編輯來自較高權限用戶的新評論,從而可能導致跨站點腳本漏洞。
- 在某些情況下,特製的URL輸入可能會導致跨站點腳本漏洞。WordPress本身並沒有受到影響,但插件可能在某些情況下會受影響。
- 搜索引擎可以在一些不常見的配置中索引用戶激活界面,從而導致郵箱地址暴露,並在極少數情況下,默認生成密碼。
- Apache託管站點上的作者可以上傳繞過MIME驗證的特製文件,從而導致跨站點腳本漏洞。