WordPress 修复多个安全漏洞 建议升级｜软件周刊

帮 助

软件周刊（01.08 — 01.14）：本周热门软件更新 — Windows 10 Build 15002 发布：多项改进 体验升级；WordPress 4.7.1 安全修复升级版本发布，修复了之前所有版本中存在的漏洞；ECharts 3.4 发布：新增象形柱图、主题河流图、水球图

● 词库增加词条实体标识和识别，方便应用对切分出来的词条做词条类别识别和应用，例如：时间，地点（比词性和实体识别更灵活，可以持有 n 种自定义实体类别），后续会增加更多类别的实体识别。

● 新增了 NLPSeg 切分模式，用于 NLP 分析，继承自复杂模式，修改了数字，单位等词条的组合形式，增加电子邮件，大陆手机号码，网址，地名，人名，货币等实体的自动识别。

● 分隔符切分模式，对输入流直接按照单个分隔符（默认是空格）切分，特殊应用场景需求（个人项目需求开发）。

● bug 修复：DictionaryFactory#createSingletonDictionary loadDic 参数无效 bug 修复

● 开始菜单中的磁贴文件夹：在该版本中，可以在开始菜单/屏幕中将相关的磁贴放在一个文件夹内了。用户只需要将其中一个磁贴移动到另一个磁贴上，就能自动创建文件夹。

● Windows Share 体验优化：重新设计的 Windows 分享体验变得更注重应用和想要分享的地方。全新的 Windows Share 体验会在应用中弹出全新的分享布局，并罗列出想要分享的应用列表。

● 截取屏幕上的某个区域：现在你能够使用 WIN+Shift+S 快捷方式来截取屏幕上的某个区域，并能够复制到剪切板中，在其他应用中进行粘贴使用。

● 为桌面应用优化高 DPI 支持：Windows 10 Build 15002 为高 DPI 支持带来了更多改善。首先，我们对 MMC（微软管理控制台）进行优化，升级后的性能检测器（Perfmon）能够为高 DPI PC 提供更清晰的画质。其次，我们默认为部分 Windows 桌面应用激活了这些改善，现在你同样能够自行激活其他基于 GDI 的应用程序。

● PHPMailer 中的远程代码执行漏洞（RCE） — 目前该漏洞尚未对 WordPress 及主流插件造成任何确切的影响，但出于谨慎考虑，在此版本中更新了 PHPMailer 模块

● REST API 会向已被授权访问文章类型或其他公开文章类型的所有用户暴露用户数据。WordPress 4.7.1 对该权限做了限制，只向授权允许访问同样文章类型的用户开放用户数据。

● 通过 update-core.php 上的插件名称或标头版本引起的跨站脚本攻击（XSS）

● 通过上传 Flash 文件引起的跨站请求伪造（CSRF）

● 通过回退主题名称引起的跨站脚本攻击

● 通过邮件发表文章时，如果默认设置没有修改，则检查 mail.example.com

● 在可访问模式下编辑挂件（小工具）时存在跨站点请求伪造攻击（CSRF）

● 多站点激活密钥的弱加密安全性