【预警通告】WordPress存储型XSS漏洞

近日，WordPress 官方发布了一条安全通告表示在4.8.1版本中发现了一个存储型的XSS漏洞，通过该漏洞，攻击者可以在受影响网站的评论区写下包含恶意代码的留言，当该留言页面被打开时，其中的恶意代码会执行，导致该网站的权限，插件等被更改，甚至被完全控制。

满足以下条件时，WordPress的安装会受到影响:

1.   该漏洞需要使用具有评论或留言功能

2.   使用带有bbPress插件的WordPress安装中的任何帐户，只要它具有发布功能（如果允许匿名发布，则不需要帐户）。

当满足这些条件时，所有WordPress的安装都处于危险之中。

目前WordPress官方已经发布4.8.2版本修复了该漏洞。

相关链接：

https://blog.sucuri.net/2017/09/stored-cross-site-scripting-vulnerability-in-wordpress-4-8-1.html

受影响的版本

WordPress 4.8.1

不受影响的版本

WordPress 4.8.2

解决方案

WordPress官方已经发布了新版本4.8.2修复了该漏洞，受影响的用户请尽快升级至最新版本来防护该漏洞。

参考链接：

https://wordpress.org/download/

声明

本安全公告仅用来描述可能存在的安全问题，绿盟科技不为此安全公告提供任何保证或承诺。

由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，绿盟科技以及安全公告作者不为此承担任何责任。

绿盟科技拥有对此安全公告的修改和解释权。

如欲转载或传播此安全公告，必须保证此安全公告的完整性，包括版权声明等全部内容。未经绿盟科技允许，不得任意修改或者增减此安全公告内容，不得以任何方式将其用于商业目的。

关于绿盟科技

	请点击屏幕右上方“…” 关注绿盟科技公众号 NSFOCUS-weixin

↑↑↑长按二维码，下载绿盟云APP