Обновления WordPress: закрыты серьёзные уязвимости

С момента разработки WordPress 3.7. движок не отличался высокой безопасностью. Разработчикам удалось закрыть семь серьезных уязвимостей для улучшения работы платформы.

19 December, 10:37
Татьяна Ромакина
Копирайтер
1306
0
Новости

Для доступа к обновлениям необходимо обновить WordPress 5.0 до версии 5.0.1, а WordPress 4 - до 4.9.9.

Несмотря на то, что обновления могут спровоцировать проблемы с совместимостью плагинов, сделать их необходимо. В противном случае Вы рискуете безопасностью сайта.

Какие же уязвимости удалось закрыть разработчикам? Рассмотрим по порядку.

  1. AuthenticatedFile Delete. У авторов был доступ к изменениям метаданных для удаления файлов, на которые не было соответствующих прав.
  2. Authenticated Post Type Bypass. Можно было создавать несанкционированные типы записей.
  3. PHP Object Injection via Meta Data. Авторы создавали метаданные, что приводило к внедрению PHP-объектов.
  4. Authenticated Cross-Site Scripting (XSS). Межсайтовый скриптинг.
  5. Cross-Site Scripting (XSS) thatcould affect plugins. Межсайтовый скриптинг, влияющий на плагины.
  6. User Activation Screen Search Engine Indexing. Приводил к индексации email-адресов и паролей, создаваемых по умолчанию поисковыми системами.
  7. File Upload to XSS on Apache Web Servers. Владельцы сайтов, расположенных на Apache, могли загружать специальные файлы, обходящие проверку MIME. Это приводило к уязвимости межсайтового скриптинга.

Для того, чтобы обезопасить свой сайт, обновить WordPress необходимо как можно скорее. Напомним, что версия WordPress 5.0 была запущена 6 декабря, а одним из ее масштабных обновлений стал  запуск редактора Gutenberg.

Ключевые теги

Создание сайта на Wordpress

Добавление комментария:

Подписаться на новые статьи

Подпишитесь на новые статьи и вы будете получать самые свежие новости прямо к вам на почту