WordPress 4.2.2更新发布【修复漏洞】

早前外媒报道过WordPress4.2.1中的默认主题存在跨站攻击漏洞，今天下午，WordPress官方发布了4.2.2版本，这是一个安全更新版本，官方称主要修复此跨站漏洞，推荐所有人立即升级到4.2.2版本，确保站点安全。
官方宣称，由于默认主题中包含了一个ico图标生成文件（genericons）功能，导致受到了安全影响，目前官方已经修复此漏洞（从日志看是删除了主题中带的genericons/example.html文件）。同时修复的还有上次发现的一个跨站安全漏洞。此外该版本还修复了编辑器可视化下的一个跨站攻击漏洞以及其他兼容性问题。详细的更新说明请点这里查看。

漏洞详情

WordPress 的默认主题TwentyFourteen存在跨站攻击漏洞。此漏洞允许攻击者使用该主题内置的一个ico图标生成文件（genericons）来进行攻 击，研究机构称，漏洞来自此ico图标生成文件，所以任何应用了此功能的主题或者插件都受到了影响，目前已知的有默认主题TwentyFourteen和 插件jetpack（安装次数超过100万）受此影响。

漏洞文件

该漏洞的验证地址如下：安全人员建议开启网站防火墙的WAF攻击防御措施来抵御此攻击。当然彻底修复该漏洞的方法也很简单，直接删除目录genericons即可避免。

漏洞演示