WordPress发布紧急更新6.9.4

WordPress 6.9.2和WordPress 6.9.3于昨日发布，解决了10个安全问题以及一个影响有限数量网站模板文件加载的漏洞。
WordPress安全团队发现，并非所有安全修复都已完全应用，因此发布了包含必要额外修复的6.9.4版本。
这次修复安全问题：

➊ PclZip 路径遍历漏洞

➋ 批注（Notes）功能的权限绕过漏洞

➌ 外部 getID3 库中的 XML 外部实体注入（XXE）漏洞

之前 6.9.2 版本已经修改了 10 个安全漏洞：

➊ 盲态服务端请求伪造（Blind SSRF）漏洞

➋ HTML API 和区块注册表中的对象调用链（PoP-chain）漏洞

➌ 数字字符引用中的正则表达式拒绝服务（regex DoS）漏洞

➍ 导航菜单中的存储型跨站脚本（stored XSS）漏洞

➎ AJAX query-attachments 接口权限绕过漏洞

➏ 通过 data-wp-bind 指令实现的存储型跨站脚本（stored XSS）漏洞

➐ 可覆盖管理后台客户端模板的跨站脚本（XSS）漏洞

➑ PclZip 路径遍历漏洞

➒ 批注（Notes）功能的权限绕过漏洞

➓ 外部 getID3 库中的 XML 外部实体注入（XXE）漏洞

强烈建议所有用户立即更新，以防范潜在安全风险。可从 WordPress.org 直接下载安装包，或通过 WordPress 后台的更新页面进行更新；