WordPress 4.5.3 发布:修复7个安全问题

WordPress 4.5.3 已经发布,并在后台推送更新了。该版本为安全更新,强烈建议更新,主要修复7个安全问题:


  1. 在定制器(customizer)中忽略重定向;

  2. 通过附件名称存在的两个XSS问题;

  3. 修订历史信息泄露;

  4. oEmbed 拒绝服务;

  5. 未经授权从文章中删除分类;

  6. 通过窃取 cookie 来更改密码;

  7. sanitize_file_name 存在一些不太安全的地方。



此外,WordPress 4.5.3 还修复了 4.5、4.5.1 及 4.5.2 以来的17个问题,要了解更多信息,请查看发行日志更新列表

可以点此下载 WordPress 4.5.3 进行手动更新,或者在后台 仪表盘 –> 更新页面一键更新到 WordPress 4.5.3 。

评论

发表评论

此博客中的热门博文

Google:尽快修复《精灵宝可梦Go》权限访问问题

图片
热门游戏《精灵宝可梦Go》(Pokémon Go)在上市之后引发了部分iOS玩家的担忧,因为使用Google账号来登录的时候需要获得完整的访问权限,部分玩家认为这可能导致类似于邮件、地理位置等信息被泄露。 对此Google旗下的Niantic Lab也是该游戏的开发商之一表示此举并非故意的,目前还未接收到“基础Google账号信息”之外的数据,Google方面称已经在研发修复补丁。 Niantic向The Verge的提供的完整声明如下: 近期,我们发现在iOS端的《精灵宝可梦Go》(Pokémon Go)游戏账号创建过程中错误要求获得用户Google账号所有访问权限。然而,《精灵宝可梦Go》仅仅需要访问基础的Google账号信息(更准确的说就是你的用户ID和邮件地址),并不需要访问和收集其他Google账号信息。 当我们发现这个错误的时候我们已经开始尝试研发客户端级别的修复补丁来仅仅获得基础的Google账号信息,确认只满足游戏所需要的数据访问。经Google确认,目前通过《精灵宝可梦Go》和Niantic没有收集其他信息。Google将会很快缩减《精灵宝可梦Go》的权限至基础个人账号信息,用户也不需要自己采取任何行动。 稿源: cnBeta.COM
阅读全文

于谦真是一个窝囊废吗?-PingWest 品玩

图片
转载自: 蹦迪班长 (ID: MrSugar008 )丨作者:摸金校尉纪捞钱 提起于谦,你们最先想到的是谁? 是于谦的爸爸,王老爷子。一位中国相声史上的传奇人物。 又名于小谦、于小屁、于得水、于进锅、于香肉丝、于德刚,或者郭德纲。 老爷子是恭王府Gay公公之子,满清最后一个骟人,出身满洲尿黄旗,京城八大铁帽子王之绿帽子王。 因为排第八,简称京八爷或京巴! 早年求学于河北保定军校,专业推火烧战车,戎马一生。三大爱好是 :花钱,洗头房和猪大肠。 膝下一子名为朴一生先生,就是于谦了。 这些话儿听着都耳熟吧?由于郭德纲的宣传普及,很多人都对于谦留下个印象: 这个烫着花卷有点囊肿的中年男人就是个窝囊废,天天只能在台上被郭德纲骑在头上埋汰。 可事实上真的是这样吗? 于谦的情商有多高? 这两天有个于谦的事儿火了。 郭德纲的儿子郭麒麟参加一档综艺,给师父于谦写了一封信。 信中,郭麒麟详细回忆了一段跟师父学艺的往事儿。 说跟于谦在一块儿,比跟他亲爸爸郭德纲在一起要舒服上一百二十倍,并大加赞赏于谦洒脱的生活态度。给于谦这好一顿猛夸。 于谦看到徒弟夸自己的来信,非常高兴,立马就在微博写了一封回信。 就是这封信,短短300多个字,却洋洋洒洒,字字珠玑。当天就上了热搜: 今天我们不跟《演讲与口才》学讲话,掏出圆珠笔和小本本,听我给你分析分析于谦这封信。你就会知道: 相声果然是一门儿语言艺术,名不虚传。 在说这封信之前,首先你得明白一个道理。所有二代和小董事长心里,其实就俩大疙瘩:一个是自我证明问题,另一个就是继承问题。 有这么个牛逼的爹压在头上,那感觉真就像一座大山,没几个人能翻得过去;家里产业都到这份儿上了,提钱一点也不俗气。 我们来看看于谦是咋写这封信的: 大林,见字如面,令疲惫路演中的我甚感温馨。 我儿诚肯为人,且善良宽厚,踏实做艺,但心高志广。立于皓月之边,不弱星光之势,傍于巨人身侧,不颓好胜之心。” 相声圈讲究师徒父子,于谦这个“我儿”一出口,温馨的距离马上就给拉近了。 人品给立起来后,于谦马上话风一转,直奔主题: 立皓月之边,不弱星光之势,傍于巨人身侧,不颓好胜之心。 先不说这几句词的文学优美。这是啥意思呢? 你郭麒麟在我于谦心里,站你爹身边,一点也不逊色啊!虽然你爹很牛逼,但你心高志广,有心气,有好胜心。不是个混吃等死的少爷秧子。即使你爸是皓月、是巨人,那你也得是将门虎子,老子...
阅读全文

他们黑了 Twitter CEO 的 Twitter 账号,只是为了证明自己

图片
掌管着全世界数亿个 Twitter 账号密码的 Twitter CEO 杰克·多西(Jack Dorsey)一定想不到,自己的 Twitter 账户竟然也被黑了。 (图自: wsj ) 这次的“凶手”依然是那个名为 “OurMine” 的三人黑客团队。OurMine 之前已经成功黑过 Facebook CEO 马克·扎克伯格和 Google CEO 桑达尔·皮扎伊的 Twitter 账户。 OurMine 在破解了多西的 Twitter 账号和密码之后,先是用他的账号推了几个“无公害”的视频片段,接着又发了一句话: Hey, its OurMine, we are testing your security. (图自: twitter ) 当然,这条文字被很快删除。不过,由于那些被推出来的视频都是来自于 Vine(Twitter 旗下的短视频应用),所以很有可能是多西在 Vine 上使用了与 Twitter 相同的密码,或者说是其他相关的账号被盗取,从而被 OurMine 套用在 Twitter 上并成功破解。 为什么又是 Twitter ? OurMine 团队陆续黑了三个重要科技人物的 Twitter 账号,除了让人对 OurMine 的目的进行质疑以外,还想知道为什么他们的 Twitter 账户会被盗取。 原因也许很简单: 因为他们在不同的网络账号上使用了相同的密码。 6 月初发生的扎克伯格 Twitter 账户被盗事件,其实是因为 OurMine 首先获得了小扎在 LinkedIn 上的泄露数据,并且破解了 SHA1 加密过的密码。然后黑客再利用这些数据,成功进入到小扎的 Twitter。令人大跌眼镜的是,小扎的密码竟然是“dadada”。 (图自: onedio ) Google CEO 皮扎伊的 Twitter 账号被黑 与之类似。OurMine 先通过 Quora 平台上的一个漏洞获得了密码;然后又通过 Quora 密码在 Twitter 上试了一下,结果竟然登录成功。 至于多西的,十有八九与也 Vine 有关。 除了这些比较显眼的账户被黑事件,最近 Twitter 还有一次大规模的账号泄露。 据报道 ,同样是在 6 月,有超过 3200 万 Twitter 用户的登录信息在“暗网”出售,包括用户名、邮箱地址和明文密码等。不过据 Twitter 调查称...
阅读全文