WordPress 4.0以下版本存在跨站脚本漏洞

全球范围内，有高达86%的WordPress网站面临着一项重大安全威胁。这一漏洞由芬兰IT公司Klikki Oy的CEO Jouko Pynnonen发现，仅存在于WordPress 4.0以下的版本中。对于全球数百万的网站来说，这意味着潜在的巨大危险。

这项漏洞的核心问题在于WordPress中存在一系列的跨站脚本漏洞。攻击者可以利用这些漏洞，通过伪造请求的方式欺骗用户更改登录密码，或者盗取管理员权限。Jouko Pynnonen解释道，当博客管理员查看评论时，评论中的恶意代码会在其Web浏览器上自动运行，从而偷偷接管管理员账户，执行管理员操作。

为了验证这一观点，研究人员创建了一个漏洞利用程序（exploits）。通过这个程序，他们成功创建了一个新的WordPress管理员账户，更改了当前管理员密码，并在服务器上执行了攻击PHP代码。问题的根源在于WordPress处理留言的方式。通常情况下，留言是允许一些html标签的，但是某些属性是在白名单里的，比如标签允许href属性，但是onmouseover属性是不允许的。

在处理这些留言时，WordPress中的wptexturize函数出现了问题。这个函数旨在将文本转化为html实体，防止干扰html格式。但在实际操作中，如果文章中混合了特定的标签和字符，可能导致转义混淆，部分代码未能正确转义。攻击者可以利用这个漏洞，在允许的HTML标签中注入样式参数，形成XSS攻击。比如通过建立透明的标签覆盖窗口，捕捉onmouseover事件。

针对这一漏洞，WordPress官方已经发布了官方补丁。大多数WordPress网站都已经收到了补丁更新提醒通知。如果你因为某些原因无法及时更新补丁，Klikki Oy公司提供了一个临时解决方案（workaround）。如果你使用的是WP-Statistics WordPress插件，也应该及时更新补丁，因为这些插件同样存在跨站脚本漏洞。

这项漏洞对于全球数百万的WordPress网站来说是一个巨大的威胁。建议所有使用WordPress的用户尽快更新到版，以确保网站的安全。也提醒广大网站管理员注意监控和审查网站评论，及时发现并处理潜在的恶意代码，保护自己的网站安全。这是一个关乎网站安全的重要问题，不容忽视。