WordPress上周四(1/26)釋出了WordPress 4.7.2,修補3個安全漏洞,包含一個跨站指令碼(Cross-site Scripting,XSS)漏洞與一個資料隱碼(SQL injection)漏洞。WordPress此次的修補距離上次只有15天,而且強烈(strongly)鼓勵用戶立即更新網站。
攸關資料隱碼的漏洞是存在於WP_Query中,WP_Query可提供常見任務的眾多功能,若經手不安全的資料就可能導致資料隱碼攻擊,該漏洞並未波及WordPress核心。
而跨站指令碼漏洞則是出現在Post List Table,惟WordPress並未說明細節。第三個漏洞為把Press This指派分類的介面顯示給無此一權限的使用者。
支援背景自動更新的WordPress網站應已更新至WordPress 4.7.2,其他WordPress用戶只要點選儀表板上的更新功能便可升級至最新版。