All-in-One WP迁移7.0修补程序XSS漏洞

使用一体化WP迁移插件的人被鼓励到">更新至7.0版,就尽快为6.97包含admin后端跨站点脚本漏洞.

攻击者已经必须能够损害数据库或者访问具有足够权限的用户帐户的访问权限以查看备份历史记录,因此一些损坏已经存在完成了,但这样的攻击者还可以插入一些XS,以损害其他管理员用户.

双击备份历史概述页面上的备份说明时,为了编辑描述文本,文本不会通过 HTML 生成输入字段时的实体.

漏洞报告

7.0在一天前在插件目录上发布并修补漏洞.根据WordPress插件目录上的统计数据,遍布一体的WP迁移是积极安装超过200万个站点的.

概念证明将于7月24日发布,该概念将为网站所有者提供大约一个星期的更新.遗憾的是,在更新之前查看更改的用户将无法确定它会修补其由于修补程序被标记为常规修复而修补安全问题.

更新7月19日

一体化WP迁移发布了一个新的更新,该更新解决了7.0中引入的不同安全问题.强烈建议用户尽快更新至7.1.

4

发表回复