WordPress默默地修复了危险的代码注入漏洞

广泛使用的WordPress内容管理系统的开发人员上周发布了更新，但故意延迟宣布修补程序讨论了严重漏洞。

WordPress版本4.7.2于1月26日发布为安全更新，但随附的发行说明只提到了三个中等风险漏洞的修复，其中一个甚至不会影响平台的核心代码。

周三，一周后，WordPress安全团队披露第四次漏洞，比其他人更严重，也在版本4.7.2中修补。

来自网络安全公司Sucuri的研究人员发现了该漏洞，并于1月20日私下向WordPress团队私下举报。它位于平台“S REST API（应用程序编程接口）中，并允许未经身份验证的攻击者修改WordPress站点中的任何帖子或页面的内容。

“我们认为透明度是公众的最佳利益，”WordPress Core Developer Aaron Campbell周三在博客帖子中表示。“我们的立场应该始终披露安全问题。在这种情况下，我们故意延迟将此问题延迟一周，以确保数百万额外的WordPress网站的安全性。“

根据Campbell的说法，在了解缺陷之后，WordPress开发人员向维护受欢迎的Web应用程序防火墙（WAFS）的安全公司达到了安全的公司，以便他们可以部署防止可能的漏洞保护规则。然后，他们联系了大号WordPress主办公司，并建议他们如何在释放官方补丁之前为其客户实施保护。

漏洞仅影响WordPress 4.7和4.7.1，默认情况下启用REST API。即使它们具有REST API插件，旧版本不受影响。

“我们还要感谢与我们密切合作的WAFS和主机，以增加额外的保护，并监控他们的系统以试图在野外使用这一漏洞，”Campbell说。“截至今天，我们的知识，并没有试图利用野外的这种脆弱性。”

虽然这是好消息，但它并不意味着攻击者赢得了现在信息已经开始的攻击性。WordPress是最受欢迎的网站建筑平台，这使其成为黑客的非常有吸引力的目标。

网站管理员应确保他们将WordPress网站更新为4.7.2版，如果他们尚未完成。