WordPress 被爆 DOM XSS 漏洞，数百万站点受影响，危险等级为极高。

该漏洞存在于 WordPress 流行的 Genericons example.html 页面中，默认主题 Twenty Fifteen 及知名插件 Jetpack 都内置了该页面，由于 example.html 使用了老版本存在 DOM XSS 缺陷的 jQuery，且使用不当，导致出现 DOM XSS，这种攻击将无视浏览器的 XSS Filter 防御。

漏洞本质代码：



老洞开新花，这是正常的…

修补方案：
删除WordPress目录下所有包含「1.7.2/jquery.min.js」的example.html，如：
/wp-content/themes/twentyfifteen/genericons/example.html
当然<=1.8.3都应该删掉，不想删就把jQuery替换为新版本。

赶紧修补吧各位，不谢。

参考：

http://wptavern.com/xss-vulnerability-in-jetpack-and-the-twenty-fifteen-default-theme-affects-millions-of-wordpress-users

https://core.trac.wordpress.org/changeset/32385

By 知道创宇安全研究团队 2015/5/7