WordPress已发布其流行的内容管理系统(CMS)的5.7.1版,该版本带来了25个错误修复,其中包括针对两个安全漏洞的补丁程序。
修补的安全漏洞之一是PHP8的ID3库中的XML外部实体(XXE)漏洞,WordPress存在此漏洞。编号为CVE--,该漏洞被认为具有很高的严重性。
ID3库旨在从MP3音频文件中解析ID3标签,未明确禁用PHP8中的XML实体,WordPress5.7和更早版本通过MP3文件上传易受XXE攻击。
该问题于年8月引入,任何有能力上传文件的用户都可以利用此漏洞。仅使用PHP8(0.3%)的WordPress部署会受到影响,因此绝大多数网站都可以免受此漏洞的利用。
影响RESTAPI,第二个漏洞可能被用来访问敏感数据。编号为CVE--,该安全漏洞被认为是中等严重。
该问题存在于WordPress编辑器的一个块中,攻击者可能利用此问题来公开受密码保护的帖子和页面。成功利用此漏洞需要攻击者至少具有贡献者特权。
为了进一步提高WordPress的安全性,其开发人员正在考虑将Google的联合群组学习(FLoC)视为安全威胁,并自动将其阻止在网站上。
FLoC旨在替代第三方Cookie,将其引入基于兴趣的混合广告中,根据用户的兴趣将用户分为大组,从而为企业提供了以广告为目标的新方法。
尽管FLoC比cookie更具私密性,但它确实有其自身的隐私含义,包括以下事实:正在跟踪用户,并与第三方共享有关其浏览习惯的数据。WordPress正在为近一半的网站提供动力,其开发人员正在将FLoC视为涉及用户隐私的安全隐患。
但是,WordPress不是将FLoC视为潜在的隐私威胁的唯一互联网实体。虽然Google在Chrome中包含该功能,但其他浏览器供应商尚未采用它。
美国网络安全和基础设施安全局(CISA)在周五的一份警告中警告说,WordPress5.7.1中解决的漏洞影响版本4.7至5.7,并且能够成功利用其中一个漏洞的攻击者可以控制受影响的网站。
工业系统EtherNet/IP堆栈中报告严重漏洞
十亿美元黑客集团SysAdmin获得10年徒刑
网络安全等级保护:等级测评风险
网络安全等级保护:等级测评可重复性和可再现性
网络安全等级保护:等级测评的识别和分析技术