WordPress 紧急发布 6.9.4 安全更新:修复此前版本未完全解决的漏洞
WordPress 于近日连续发布紧急安全更新。6.9.2 版本原计划修复 10 个安全漏洞,但该版本存在缺陷,导致部分网站出现白屏崩溃问题。开发团队随即发布 6.9.3 修复崩溃问题,随后又发现部分安全修复未能完全生效,因此紧急推出 6.9.4 版本。 安全公司 Wordfence 披露了其中 4 个漏洞的详情,CVSS 严重程度评级为中等水平。WordPress.org 则公布了全部 10 个漏洞的完整列表,其中一个涉及外部 PHP 库。
网站崩溃事件时间线
6.9.2 版本发布后,部分用户报告网站出现白屏崩溃。有用户在 Reddit 上猜测问题可能与安全补丁有关。一位受影响的用户在 WordPress 官方论坛描述了具体情况:
“几分钟前我收到 Dreamhost 的通知,说网站已自动更新到 WP 6.9.2。现在访问任何页面都显示空白。我仍能登录后台,页面内容也还在,但前台首页和其他页面都无法显示(查看源代码也是空的。)”
随后更多用户报告了类似问题。WordPress 核心开发人员介入后表示,问题与某些主题的模板加载方式有关,并建议切换到其他主题进行验证。7 小时后,开发团队发布了 6.9.3 版本修复崩溃问题。
官方回应:崩溃原因
WordPress 官方指出,网站崩溃问题源于部分主题使用了非标准的模板文件加载方式。这些主题采用了一种不受支持的"字符串对象"机制来加载模板路径,与 6.9.2 安全补丁产生冲突。 官方在 6.9.3 版本说明中解释:
“此版本修复了部分主题在使用不寻常的字符串对象机制加载模板文件路径时出现的兼容性问题,该问题导致 6.9.2 安全更新后部分网站无法正常显示。虽然这不是 WordPress 官方支持的模板加载方式(template_include 过滤器仅接受字符串类型),但考虑到影响范围,团队决定在 6.9.3 版本中一并解决。使用受影响主题的用户应更新到此版本以恢复正常访问。”
Wordfence 披露的四个漏洞
Wordfence 详细分析了 4 个安全漏洞,CVSS 严重程度评级范围为 4.3 至 6.5(满分 10 分)。所有漏洞均需身份验证方可利用,攻击者需先获取订阅者及以上级别的用户权限。
漏洞详情
- CVSS 4.3 – WordPress 6.9–6.9.1:缺少授权验证,认证订阅者可利用 REST API 创建任意笔记
- CVSS 4.3 – WordPress ≤ 6.9.1:缺少授权验证,认证作者级别用户可通过 query-attachments AJAX 端点泄露敏感信息
- CVSS 4.4 – WordPress ≤ 6.9.1:认证管理员可通过导航菜单项注入存储型 XSS 恶意代码
- CVSS 6.5 – WordPress ≤ 6.9.1:认证作者级别用户可通过 getID3 库上传功能发起 XML 外部实体(XXE)注入攻击
其中最严重的 XXE 漏洞(评分 6.5)允许攻击者读取服务器上的任意文件。Wordfence 分析指出,问题源于 WordPress 绑定的 getID3 库中 GETID3LIBXMLOPTIONS 常量包含 LIBXML_NOENT 标志,在解析包含 XML 元数据的媒体文件(特别是 WAV/RIFF/AVI 文件中的 iXML 块)时会启用 XML 实体替换,从而可能被利用进行本地文件读取。
十个漏洞完整列表
- 盲注 SSRF 问题
- HTML API 和区块注册表的 PoP 链弱点
- 数字字符引用的正则表达式 DoS 弱点
- 导航菜单存储型 XSS
- AJAX query-attachments 授权绕过
- 通过 data-wp-bind 指令的存储型 XSS
- 允许覆盖后台客户端模板的 XSS
- PclZip 路径遍历问题
- 笔记功能授权绕过
- 外部 getID3 库的 XXE 注入漏洞
其他漏洞情况
据 Wordfence 描述,此次发现的其余六个漏洞中有部分为中等严重程度,攻击者需要先获得用户角色权限才能利用这些漏洞。
建议
WordPress 官方建议所有用户立即更新到 6.9.4 版本,以获取完整的安全修复。
