从 WordPress 4.9.1 版本发布:WordPress 4.9 及更早版本受到四个安全问题的影响,这些安全问题可能会被用作多矢量攻击的一部分。作为核心团队持续加强安全的承诺的一部分,4.9.1 中已经实施了以下修复:
- 为 newbloguser 密钥使用正确生成的哈希而不是确定的子字符串。
- 添加转义到 html 元素上使用的语言属性。
- 确保 RSS 和 Atom 提要中的机箱属性正确转义。
- 删除没有能力的用户上传 JavaScript 文件的 unfiltered_html 能力。
修改的文件列表
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 | wp-admin/about.php wp-admin/includes/class-wp-upgrader.php wp-admin/includes/file.php wp-admin/includes/meta-boxes.php wp-admin/includes/misc.php wp-admin/includes/plugin.php wp-admin/includes/upgrade.php wp-admin/js/theme.js wp-admin/js/theme.min.js wp-admin/theme-editor.php wp-admin/user-new.php wp-includes/class-wp-theme.php wp-includes/feed.php wp-includes/functions.php wp-includes/general-template.php wp-includes/script-loader.php wp-includes/version.php wp-includes/wp-db.php |