WordPress Core 5.4.1版本刚刚发布。由于此版本被标记为安全和错误修复的合并更新,因此我们建议尽快进行更新。话虽如此,大多数安全修复程序本身都是针对漏洞的,这些漏洞似乎需要特定的环境才能利用。

此版本中的所有内容总共包含7个安全修复程序,其中5个是XSS(跨站点脚本)漏洞。Wordence 的免费版和高级版均具有强大的内置XSS保护,可以防止潜在利用这些漏洞。

 

每个安全问题的细分

密码重置令牌未能正确失效

如果要求用户重设密码,但随后他们登录并在个人资料页面上手动更新了密码,则仍然可以使用通过电子邮件发送的密码重设链接。以前,仅当用户更改其电子邮件地址时,密码重置链接才会失效。在很多情况下,除非攻击者已经可以访问受害者的电子邮件帐户,否则这种类型的问题可能是有问题的,这实际上是最坏的情况。有问题的代码更改(diff)是:

https://core.trac.wordpress.org/changeset/47634/

Muaz Bin Abdus SattarJannes均独立发现并报告了此漏洞。

未经身份验证的用户可以查看某些私人帖子

该变更集具有以下注释:“查询:确保在基于日期/时间的查询中只能返回单个帖子。”

这表明,攻击者有可能通过使用基于日期和时间的查询来查看私人帖子,尽管仅对于完全相同时间(直到第二次)创建或更新的受保护帖子(不受保护的帖子)。有问题的差异是:

https://core.trac.wordpress.org/changeset/47635/

这是由ka1n4t发现的,似乎与CVE-2019-17671相似,在CVE-2019-17671中,查询返回了多个帖子,并且仅检查了第一个帖子以确保它是公开可见的。

定制程序中的两个XSS问题

这些漏洞似乎允许各种用户破坏帖子内容,并且可能允许具有贡献者功能的经过身份验证的攻击者添加恶意的javascript。有能力撰写帖子的用户(例如撰稿人或作者)而没有该unfiltered_html功能,并且管理员或编辑者可能破坏彼此草稿中的数据,从而可能在帖子的预览版或最终版中添加恶意JavaScript。有问题的差异是:

https://core.trac.wordpress.org/changeset/47633/

这些漏洞是由Evan RicafortWeston Ruter发现并报告的。

搜索块中的XSS问题

实际上,这似乎是指RSS块和Search块中具有相同机制的两个独立漏洞。具有自定义这两个块中任何一个的类的能力的攻击者(例如贡献者)都可能以如下方式设置块类:在查看或预览帖子时将执行恶意JavaScript。有问题的差异是:

https://core.trac.wordpress.org/changeset/47636/

WordPress安全团队的Ben Bidner发现并报告了此漏洞。

wp-object-cache中的XSS问题

对象高速缓存用于通过以下方式保存到数据库的行程:缓存数据库中的内容,并通过使用用于命名的键来使高速缓存内容可用,然后再检索高速缓存内容。

在少数情况下,有能力更改对象缓存键的攻击者可能会将这些缓存键之一设置为恶意JavaScript。默认情况下,WordPress不显示这些统计信息,也不允许用户直接操作缓存键。

编程不正确的插件或插件组合可能使攻击者可以操纵高速缓存密钥,并导致未转义的值通过用于显示它们的插件或自定义代码显示给管理员,以查看这些统计信息。有问题的差异是:

https://core.trac.wordpress.org/changeset/47637/

此漏洞由WordPress VIP / WordPress安全团队的Nick Daugherty发现。

文件上传中的XSS问题

此特定漏洞可能允许具有'upload_files'功能的用户(在默认安装中为Authors及更高版本)上载具有设置为恶意JavaScript的文件名的文件,当在媒体库中查看文件时可能会执行该文件。有问题的差异是:

https://core.trac.wordpress.org/changeset/47638/

Ronnie Goodrich(Kahoots)和Jason Medeiros均独立发现并报告了此漏洞。

块编辑器中已通过身份验证的XSS问题

此漏洞在某些发行候选版本中存在,并且似乎从未出现在正式发行版中。它是由Nguyen Duc在WordPress 5.4 RC1和RC2中发现的,并已在5.4 RC5中修复。

 

我该怎么办?

尽管这些漏洞中的大多数似乎只能在有限的情况下或由受信任的用户利用,但是发现这些漏洞的研究人员可以为他们发布概念证明代码。如果有更多的时间,攻击者可能会发现,利用这些漏洞比现在明显容易得多。与往常一样,我们建议尽快更新。

这是WordPress的次要版本,这意味着大多数网站都会自动更新。如果您的站点访问量很大,则可能希望在登台环境中执行测试,然后再更新站点的生产版本。

 

结论

我们要感谢WordPress核心团队和发现并报告了这些漏洞的研究人员,这些漏洞使WordPress更加安全。

您可以在此页面上找到WP 5.4.1版本正式公告。如果您有任何疑问或意见,请不要犹豫,将其发布在下方,我们将尽力及时答复。如果您是其中包括上述工作的研究人员之一,并且想提供更多细节或更正,我们欢迎您提出意见。