阿里云提示:
漏洞存在于wordpress插件bbpress /wp-content/plugins/bbpress/includes/core/functions.php文件中,攻击者通过用户提及功能(即@用户名,而bbPress的用户提及功能能够将@用户名替换成另外一个链接,创建了一个嵌套链接的HTML结构),可在论坛文章中存储恶意代码。而这些文章会被存在到数据库中,后面会展示给随后的访问者。如果攻击者有着更加成熟的技术,可通过这种方法从版主或者管理员处窃取cookies,以管理员身份进行操作,实现提权。
但我看到bbpress官网还是2.6.4,没有升级版本,请问这个漏洞怎么修复啊?谢谢!