Разработчики WordPress закрыли семь серьёзных уязвимостей. Для этого, команда WordPress выпустила два обновления. Эти бреши существовали с момента выхода версии 3.7. Тем, кто перешёл на WordPress 5.0 нужно обновиться до версии 5.0.1. Тем, кто хочется остаться с WordPress 4, нужно обновиться до версии 4.9.9. Разработчики отмечают, что обновление может вызвать проблемы с совместимостью некоторых плагинов и тем, но это меньшее зло, чем взлом сайта. Обнаруженные и закрытые уязвимости: 1. AuthenticatedFile Delete – авторы могут изменять метаданные, чтобы удалять те файлы, для которых у них нет соответствующих прав; 2. Authenticated Post Type Bypass – возможность создания несанкционированных типов записей; 3. PHP Object Injection via Meta Data – авторы могут создавать метаданные таким образом, чтобы это приводило к внедрению PHP-объектов. 4. Authenticated Cross-Site Scripting (XSS) – межсайтовый скриптинг; 5. Cross-Site Scripting (XSS) thatcould affect plugins – межсайтовый скриптинг, который может повлиять на плагины; 6. User Activation Screen Search Engine Indexing – может приводитm к индексации email-адресов и паролей, генерируемых по умолчанию, поисковыми системами; 7. File Upload to XSS on Apache Web Servers – владельцы сайтов, размещённых на Apache, могут загружать специально созданные файлы, которые обходят проверку MIME, что приводит к появлению уязвимости межсайтового скриптинга. Обновление CMS следует провести незамедлительно. Использование устаревшей версии WordPress подвергает сайт риску взлома.
Официальная группа компании Кодакс
Ну наконец-то!
Разработчики WordPress закрыли семь серьёзных уязвимостей. Для этого, команда WordPress выпустила два обновления. Эти бреши существовали с момента выхода версии 3.7.
Тем, кто перешёл на WordPress 5.0 нужно обновиться до версии 5.0.1. Тем, кто хочется остаться с WordPress 4, нужно обновиться до версии 4.9.9.
Разработчики отмечают, что обновление может вызвать проблемы с совместимостью некоторых плагинов и тем, но это меньшее зло, чем взлом сайта.
Обнаруженные и закрытые уязвимости:
1. AuthenticatedFile Delete – авторы могут изменять метаданные, чтобы удалять те файлы, для которых у них нет соответствующих прав;
2. Authenticated Post Type Bypass – возможность создания несанкционированных типов записей;
3. PHP Object Injection via Meta Data – авторы могут создавать метаданные таким образом, чтобы это приводило к внедрению PHP-объектов.
4. Authenticated Cross-Site Scripting (XSS) – межсайтовый скриптинг;
5. Cross-Site Scripting (XSS) thatcould affect plugins – межсайтовый скриптинг, который может повлиять на плагины;
6. User Activation Screen Search Engine Indexing – может приводитm к индексации email-адресов и паролей, генерируемых по умолчанию, поисковыми системами;
7. File Upload to XSS on Apache Web Servers – владельцы сайтов, размещённых на Apache, могут загружать специально созданные файлы, которые обходят проверку MIME, что приводит к появлению уязвимости межсайтового скриптинга.
Обновление CMS следует провести незамедлительно. Использование устаревшей версии WordPress подвергает сайт риску взлома.