是一個(gè)用PHP語言開發(fā)的博客平臺(tái)。用戶可以在支持 PHP 和數(shù)據(jù)庫的服務(wù)器上建立自己的網(wǎng)站網(wǎng)站開發(fā)，或者將它們用作內(nèi)容管理系統(tǒng) (CMS)。

大約一個(gè)月前，開發(fā)團(tuán)隊(duì)發(fā)布了4.7的正式版，命名為“”以紀(jì)念美國爵士音樂家。

昨天，4.7迎來了第一個(gè)安全維護(hù)版本php代碼執(zhí)行漏洞小程序開發(fā)，版本號(hào)升級(jí)為4.7.1。此版本修復(fù)了之前所有版本中存在的安全問題。建議使用舊版本的用戶盡快升級(jí)。

4.7 及更早版本受到以下 8 個(gè)安全漏洞的影響：

1、 中的遠(yuǎn)程代碼執(zhí)行漏洞——該漏洞尚未對(duì)主流插件產(chǎn)生任何明確的影響。但出于謹(jǐn)慎考慮，開發(fā)團(tuán)隊(duì)在這個(gè)新版本中升級(jí)了模塊。

2、REST API 向所有有權(quán)訪問文章類型或其他公共文章類型的用戶公開用戶數(shù)據(jù)。4.7.1 這個(gè)權(quán)限是有限制的，用戶數(shù)據(jù)只對(duì)被授權(quán)訪問相同文章類型的用戶開放。

3、-code.php 文件中的插件名稱或版本頭導(dǎo)致的跨站腳本漏洞。

4、通過上傳文件進(jìn)行跨站請(qǐng)求偽造攻擊。

5、由于主題名稱回滾導(dǎo)致的跨站攻擊。

6、通過電子郵件發(fā)布時(shí)檢查默認(rèn)設(shè)置是否沒有被修改。

7、在可訪問模式下編輯小部件（小工具）時(shí)存在跨站點(diǎn)請(qǐng)求偽造攻擊。

8、多站點(diǎn)激活密鑰的加密很弱。

除了上述安全漏洞php代碼執(zhí)行漏洞，4.7.1還修復(fù)了62個(gè)漏洞。

新用戶可以下載4.7.1，已經(jīng)安裝的用戶可以通過控制臺(tái)直接點(diǎn)擊“立即更新”按鈕進(jìn)行升級(jí)。請(qǐng)務(wù)必在升級(jí)您的網(wǎng)站之前進(jìn)行備份。