网站安全预警！WordPress 的储存型 XSS 高危漏洞曝光

WordPress是使用PHP语言开发的一个博客平台，并且能在支持PHP和MySQL数据库的服务器上来架设自己的网站，它同时也可以作为一个内容管理系统来使用。其丰富的功能和管理系统的便捷性使其大受广大用户欢迎。然而近期WordPress官网则发布了一条安全通告，通告中表示WordPress 4.8.1版本中被发现具有一个存储型XSS漏洞，被定义为高危级别。

据了解该漏洞危险性十分强，攻击者能够利用该漏洞攻击网站，在受影响的网站评论区写下含有恶意代码的留言，只要该留言的页面被打开或点击，其内含的恶意代码就会自动执行，攻击网站并且导致网站权限、插件被篡改，更甚者还会导致系统掌控权被完全交出，危险性极高。目前WordPress作为全球装机量很高的CMS系统，希望各位网站负责人尽快做出应对措施，关注官网的通知。

存储型XSS漏洞一直以来都以持久化著称，留在评论区的恶意代码是存储在服务器当中的，例如个人信息或文章发表之处，所以一旦没有过滤完全，它们就会进入到服务器当中，但用户访问该页面时就会触发恶意代码的执行。故这种存储型的XSS漏洞安全风险等级很高，能很轻易的就造成蠕虫、cookie盗窃的情况出现。

目前已知的该高危漏洞影响的版本有WordPress 4.8.1，而WordPress 4.8.2版本则不受影响。建议所有受影响的WordPress 4.8.1用户尽快登录到面板，更新升级系统来达到修复改漏洞的目的。