WordPress5.7.2版本包含一个严重漏洞的修复程序

WordPress用户应尽快更新到5.7.2版，因为世界上最流行的CMS的最新版本包括一个解决重要漏洞的安全补丁。漏洞跟踪为CVE-2020-36326，影响WordPress 3.7至5.7版本，并且其严重等级为9.8，因为它可能使攻击者可以对未打补丁的网站进行各种恶意攻击。

虽然现在可以手动下载包含补丁的更新，但是启用了自动下载的WordPress网站将无需任何其他操作即可接收到该补丁。

站点所有者仍应检查自己是否正在运行最新版本，如果不是，则应自行安装，以防止成为利用此漏洞的任何潜在攻击的受害者。

该漏洞本身是在WordPress的PHPMailer组件中发现的对象注入漏洞，默认情况下该对象用于发送电子邮件。

根据安全公司Wordfence的说法，所有对象注入漏洞都需要“ POP链”才能造成额外的损害。这意味着需要在WordPress站点上运行具有易受攻击的魔术方法的其他软件才能利用此漏洞，因此很难做到。

在新的博客文章中，Wordfence的Ram Gall解释了攻击者可能如何利用此漏洞，并说：

“尽管可以直接访问PHPMailer的任何人都可以注入一个PHP对象，从而保证了PHPMailer组件本身的严重等级，但是WordPress不允许用户这种直接访问。相反，所有访问都是通过核心和各种插件中公开的功能进行的。为了利用此漏洞，攻击者需要找到一种使用PHPMailer发送消息并向该消息添加附件的方法。此外，攻击者将需要找到一种方法来完全控制附件的路径。”

尽管对于攻击者来说，在野外充分利用此漏洞将非常困难，但如果站点所有者尚未将WordPress核心更新为最新版本，则仍应将其更新。

　　免责声明：本文由用户上传，与本网站立场无关。财经信息仅供读者参考，并不构成投资建议。投资者据此操作，风险自担。 如有侵权请联系删除！