WordPress 5.1.1 发布 修复 CSRF 漏洞

WordPress 5.1.1 已经发布，这是一个安全和维护版本。WordPress 5.1.1 包含了 14 个问题修复和功能增强，修复了一个可能引发跨站脚本攻击的评论 CSRF 漏洞，完整更新包括：

1. 提供「更新 PHP」按钮，帮助用户和主机供应商至少把 PHP 更新至受支持的最低版本，为迎接 WordPress 5.2 做好准备；

2. 一对安全补丁，修复了一个因恶意评论可能引发的跨站脚本攻击的漏洞。该漏洞在隐藏的 iFrame 的帮助下加载并执行 XSS 有效负载，允许未经身份验证的攻击者执行任意 HTML 和脚本代码，从而可能接管受攻击的易受攻击的 WordPress 网站。RIPS 科技公司表示，「CSRF 漏洞利用了多个逻辑缺陷和错误，组合利用这些错误可导致远程执行代码和完全接管网站」。该漏洞影响到 WordPress 5.1.1 之前的所有版本；

3. 其他一些错误修复。

你可以在 Trac 上查看完整的更改列表。

值得注意的是，WordPress 5.1.1 是一个短周期维护版本，官方预计版本 5.1.2 将遵循类似的两周发布节奏。

现在，您就可以下载 WordPress 5.1.1 或访问仪表板→更新，然后单击「立即更新」。支持自动后台更新的网站已开始自动更新。