WordPress最新DOM XSS漏洞[4.2.2 fix]

WordPress 被爆 DOM XSS 漏洞，数百万站点受影响，危险等级为极高。

该漏洞存在于 WordPress 流行的 Genericons example.html 页面中，默认主题 Twenty Fifteen 及知名插件 Jetpack 都内置了该页面，由于 example.html 使用了老版本存在 DOM XSS 缺陷的 jQuery，且使用不当，导致出现 DOM XSS，这种攻击将无视浏览器的 XSS Filter 防御。

漏洞本质代码：
<script src="https://ajax.googleapis.com/ajax/libs/jquery/1.7.2/jquery.min.js"></script> <script> var x = window.location.hash.split('#')[1]; jQuery('.' + x); </script>

老洞开新花，这是正常的…

修补方案：
删除WordPress目录下所有包含「1.7.2/jquery.min.js」的example.html，如：
/wp-content/themes/twentyfifteen/genericons/example.html
当然<=1.8.3都应该删掉，不想删就把jQuery替换为新版本。

赶紧修补吧各位，不谢。

参考：
http://wptavern.com/xss-vulnerability-in-jetpack-and-the-twenty-fifteen-default-theme-affects-millions-of-wordpress-users
https://core.trac.wordpress.org/changeset/32385

转载请注明出处 AE博客|墨渊 » WordPress最新DOM XSS漏洞[4.2.2 fix]

标签: Wordpress 漏洞

AE博客|墨渊

WordPress最新DOM XSS漏洞[4.2.2 fix]

相关推荐

取消回复发表评论

网友评论（0）

猜你喜欢

分类

友情链接

AD