WordPress 发布了 7.0.2 安全版本,本次更新修复了两个高危级别的安全漏洞,涵盖 SQL 注入与 REST API 批量路由混淆导致的远程代码执行(RCE)。由于漏洞危害严重,WordPress 团队已通过自动更新系统向受影响版本强制推送升级,建议站长尽快完成更新。
受影响版本与修复范围
| 版本 | 受影响情况 | 修复版本 |
|---|---|---|
| WordPress 7.0.2 | 两个漏洞均已修复 | — |
| WordPress 6.9 | 两个漏洞均受影响 | 6.9.5 |
| WordPress 6.8 | 仅受第一个漏洞影响 | 6.8.6 |
| WordPress 7.1 beta | 两个漏洞均受影响 | 7.1 beta2 |
| 6.8 以下版本 | 不受影响 | — |
漏洞详情
漏洞一:SQL 注入 由 TF1T、dtro、haongo 三人团队联合报告,属于协作型漏洞。
漏洞二:REST API 批量路由混淆导致 SQL 注入,最终实现 RCE 由安全研究员 Adam Kues(Assetnote / Searchlight Cyber)发现并报告。该漏洞可通过 REST API 批量路由混淆触发 SQL 注入,并进一步实现远程代码执行,危害程度更高。
升级方式
- 自动更新:支持后台自动更新的站点,更新流程将自动触发
- 手动更新:访问 WordPress 后台 → "更新" → 点击"立即更新";或前往 WordPress.org 直接下载 7.0.2