WordPress 发布安全更新后紧急修复 Bug
WordPress 于近日发布了安全版本 6.9.2,修复了多个安全漏洞。然而此次更新导致部分网站出现“白屏”问题,无法正常显示页面。随后开发团队迅速跟进,发布了 6.9.3 版本作为紧急修复。 安全公司 Wordfence 披露## 安全漏洞概况了其中 4 个漏洞的详情,CVSS 严重程度评级为 4.3 至 6.4 分(满分 10 分),均为中等严重程度。需要注意的是,这些漏洞均需要身份认证才能利用,攻击者首先需要获得从订阅者到管理员级别的用户权限。 Wordfence 通报的四个漏洞:
- CVSS 4.3 — WordPress 6.9–6.9.1:REST API 缺少授权控制,订阅者级别用户可创建任意笔记
- CVSS 4.3 — WordPress ≤ 6.9.1:AJAX query-attachments 端点存在授权缺陷,作者级别用户可获取敏感信息
- CVSS 4.4 — WordPress ≤ 6.9.1:导航菜单项存在存储型 XSS,管理员级别用户可利用
- CVSS 6.5 — WordPress ≤ 6.9.1:getID3 库存在 XML 外部实体(XXE)注入漏洞,作者级别用户可利用
其中最严重的是 getID3 库的 XXE 漏洞。Wordfence 指出,问题源于 GETID3LIBXMLOPTIONS 常量包含 LIBXML_NOENT 标志,导致 XML 实体替换被启用。当 WordPress 处理包含 XML 元数据的媒体文件(特别是 WAV/RIFF/AVI 文件中的 iXML 块)时,getID3 库会以实体替换启用的方式解析 XML,攻击者可能利用 file:// 协议 URI 读取服务器上的任意文件。 完整漏洞清单(10 个):
- 盲注 SSRF 问题
- HTML API 与区块寄存器的 PoP 链弱点
- 数字字符引用的正则 DoS 弱点
- 导航菜单存储型 XSS
- AJAX query-attachments 授权绕过
- data-wp-bind 指令存储型 XSS
- 管理后台客户端模板覆盖 XSS
- PclZip 路径遍历问题
- Notes 功能授权绕过
- getID3 库 XXE 注入
网站崩溃始末
6.9.2 发布后,部分用户报告网站出现白屏。Reddit 上有用户推测这与“安全补丁本身”有关。在 WordPress 官方论坛,有用户描述如下:
“几分钟前我收到 Dreamhost 的通知,说网站已自动更新到 WP 6.9.2。现在无论打开哪个页面都显示空白。我仍能登录后台,页面内容也都在,但前台首页及其他页面都无法显示(查看源代码也是空的。)”
随后多位用户反映类似问题。核心开发人员随后回应称,问题与某些主题的非标准模板加载方式有关,建议切换到其他主题进行排查。7 小时后,WordPress 发布了 6.9.3 版本,修复了 6.9.2 引入的问题。
官方说明
WordPress 6.9.3 更新说明指出,此次修复针对的是某些主题使用非标准“字符串化对象”机制加载模板文件的问题。该方式虽然不是 WordPress 官方支持的模板加载方式(template_include 过滤器仅接受字符串),但仍导致部分网站无法正常显示,因此开发团队决定快速发布 6.9.3 版本进行修复。
影响与建议
尽管 Wordfence 披露的 4 个漏洞均为中等严重程度且需要用户身份认证,但仍有其他 6 个漏洞的具体严重程度尚未公布。为安全起见,WordPress 官方强烈建议站点管理员立即更新至最新版本。
