近期wordpress曝出了多个高危漏洞，漏洞不需要任何的验证和插件，在默认的配置情况下就可以利用。远程攻击者可以利用该漏洞执行代码。由于该漏洞影响比较大，通过和官方协商，决定推迟更新wordpress漏洞细节。

漏洞编号：CVE-2016-10033

漏洞发现者：dawid_golunski

漏洞危害：严重

影响版本：4.6

漏洞描述：远程攻击者可以利用该漏洞执行代码

官方宣称已经在4.7.1版本修复该问题，建议是升级到最新版本。

但是，不幸的是，最新版发现了一个更加严重的高危漏洞，如下：

漏洞编号：CVE-2017-8295

漏洞发现者：dawid_golunski

漏洞危害：中/高

影响版本：WordPress Core <= 4.7.4

漏洞描述：

Wordpress的密码重置功能，其中存在漏洞在某些情况下可能允许攻击者在未经身份验证的情况下获取密码重置链接。这种攻击可导致攻击者获得未经授权的WordPress帐户访问权限。

建议使用wordpress的用户关注官方最新版本，及时更新升级。

本文来自开源中国社区 [http://www.oschina.net]