百度安全提示WordPress最新补丁再次被攻破

发布时间：2020-02-10 18:00:17 阅读：次来源：纸碗厂家

信息安全领域的攻防战争周而复始，永远都不会停息。近日，WordPress存储型xss让大量网站处在安全风险中，WordPress官方于4月28日凌晨发布了最新的4.2.1版来应对。但是很快，就有人在微博上提出WordPress最新补丁能够被绕过。这已经是WordPress因为这一高危漏洞第三次出现问题。

百度云安全部通过分析补丁，第一时间确认了问题所在，证实了外界的传闻，并且向客户发布了提示公告。WordPress是全球使用最广泛的CMS系统，受此漏洞影响的范围非常广泛，而且此次漏洞的利用条件相当低，即使是用户匿名评论，也可以成功地插入恶意代码。由于WordPress迟迟未能彻底修复该漏洞，大量网站仍然处在风险之中，百度云安全部建议各网站站长仍需暂时关闭评论功能，以避免可能带来的黑客攻击。

WordPress高危漏洞三次被攻破事件回顾：

2014年2月，安全人员曝光WordPress存在存储型xss漏洞，WordPress第一次因该漏洞被攻破。

2015年4月21日，WordPress升级至版本4.2.1，以修复该漏洞。

2015年4月27日，外国安全专家曝光了WordPress4.2.1只成功修复了第一个存储型xss，未能成功修复第二个。至此，WordPress第二次被攻破。

2015年4月28日凌晨，WordPress发布更新的WordPress4.2.1，发布了第二个漏洞的修复补丁。

2015年4月28日11时，微博中有人曝光，WordPress发布的漏洞补丁可被绕过问题。目前官方仍未出更新补丁。