WordPress内容管理系统（CMS）刚刚发布了更新——4.2.3版本，修复一个严重的、影响数百万网站的安全漏洞。

WordPress上存在XSS漏洞

WordPress 团队于周二在其博客中写道，Wordpress 4.2.3版本修复了一个跨站脚本（XSS）漏洞，拥有作者权限、投稿者权限的用户都可以利用该漏洞入侵网站。

跨站脚本（XSS）漏洞确实是web应用程序中的一个漏洞，大多发生在有针对性的网络攻击中。跨站脚本（XSS）漏洞也是近来比较受网络犯罪者推崇的一个漏洞。

攻击者可以利用该漏洞在web应用程序中嵌入恶意HTML、javascript、Flash等，绕过wordpress的kses防护，然后在其系统上执行恶意脚本。

执行恶意脚本不是最终目的，搜集用户敏感信息才是初衷，在恶意脚本执行之后，系统上存储的cookies都会被攻击者窃取（呵呵，它一般也就是窃取用户的信息吧……）。然而wordpress公司并没有公布具体的漏洞细节。

请立即更新你的WordPress CMS

4.2.2版本之前的wordpress均存在该漏洞，强烈建议CMS用户尽快将其wordpress更新到4.2.3版本（最新版），另外还建议用户启用自动更新功能。

来自FreeBuf黑客与极客（FreeBuf.COM）