---

请所有使用90Host的 WordPress 用户尽快升级到最新版本！

WordPress官方在4月21日发布了新的版本4.1.2，其中提到修复了一个严重的存储型XSS漏洞。

不久之后便有人给出了漏洞的细节。 而安全研究团队Klikki Oy发现在，新版本（<=4.2）的Wordpress中仍然可以利用该漏洞。

这次的XSS漏洞出现在wordpress的留言处，不过问题是由mysql的一个特性引起的。

在mysql的utf8字符集中，一个字符由1~3个字节组成，对于大于3个字节的字符，mysql使用了utf8mb4的形式来存储。

如果我们将一个utf8mb4字符插入到utf8编码的列中，那么在mysql的非strict mode下，他的做法是将后面的内容截断 。

此次漏洞较为严重，可能会导致 WordPress 数据被篡改，添加恶意文件，甚至获取权限！请所有wordpress用户尽快升级至最新版本！

九零主机 运营部
Wednesday, May 13, 2015

« 返回