WordPress 6.5.2 维护和安全发布

注意：由于初始包的问题，​​WordPress 6.5.1 未发布。 6.5.2 是 WordPress 6.5 的第一个小版本。

此安全和维护版本修复了2 个 Core 错误、12 个块编辑器错误修复和 1 个安全修复。同样的漏洞同时影响了WordPress的核心系统和Gutenberg插件，这两个地方都存在着问题。

现在有一个更为安全的版本可用，我们强烈建议你尽快更新你的网站。同时，WordPress.org也提供了向后移植的功能，这样其他主要的WordPress版本（6.1及以上）也可以轻松升级，确保你的网站安全无忧。

你可以通过以下两种方式轻松更新你的WordPress到最新版本6.5.2：一是直接从我们网站的导航栏点击“下载WordPress”，然后选择“WordPress最新版”下载；二是在你的WordPress仪表板里，点击“更新”，然后点击“立即更新”。如果你的网站支持自动后台更新，那么更新过程就会自动开始，无需你手动操作。

WordPress 6.5.2是一个短周期版本，而下一个主要版本WordPress6.6计划在2024年7月16日发布。为了保持你网站的安全和功能更新，建议你及时关注并更新到最新版本，也可以随时关注我们的WordPress最新资讯。

跨站脚本 (XSS)

在WordPress中发现了一个XSS漏洞，这个漏洞可能会让黑客偷偷在网站上插入恶意脚本。一旦黑客成功，那些访问这些页面的用户就会受到攻击。

XSS漏洞主要有三种类型，但在WordPress的插件、主题以及它自身里面，最常见的是反射型XSS和存储型XSS。

反射型XSS需要用户去点击一个特定的链接，这就给黑客的攻击增加了难度，因为还需要用户去配合才能进行攻击。

存储型XSS是一种更严重的漏洞，因为它允许黑客把恶意脚本上传到网站上，然后攻击访问这个网站的人。这次在WordPress中发现的漏洞就是这种类型。

但好消息是，这个威胁并没有那么可怕，因为它需要黑客先拿到网站的一些权限，至少得是贡献者级别的，才能利用这个漏洞。

这个漏洞被评为中等威胁，根据通用漏洞评分系统 (CVSS) 的打分，它的得分是6.4（满分是10分）。

Wordfence 描述了该漏洞：

“由于显示名称上的输出转义不足，在 6.5.2 及之前的各个版本中，WordPress Core 很容易通过 Avatar 块中的用户显示名称受到存储跨站点脚本攻击。这使得具有贡献者级别及以上访问权限的经过身份验证的攻击者可以在页面中注入任意 Web 脚本，每当用户访问注入的页面时就会执行这些脚本。”

不管是WordPress官方还是我们一个有着多年开发经验的忠实WordPress用户，建议用户尽快更新你的网站，避免一些不必要的麻烦出现。