Сегодня был выпущен WordPress 4.7.5 с исправлениями шести проблем безопасности. Если вы управляете несколькими сайтами, вы могли видеть, что на ваши адреса электронной почты приходили уведомления об автоматическом обновлении. Версия безопасности предназначена для всех предыдущих версий, и WordPress рекомендует немедленное обновление. Сайты с версиями ниже 3,7, вам нужно будет обновить вручную.
Уязвимости, исправленные в версии 4.7.5, были ответственно раскрыты команде безопасности WordPress пятью разными командами, указанными в сообщении. К ним относятся следующие:
- недостаточная проверка Перенаправление в классе HTTP
- Неправильная обработка мета-значенийданные опубликовать в XML-RPC API
- Отсутствие проверки возможностей для мета-данные позже в XML-RPC API
- В диалоговом окне учетных данных файловой системы обнаружена уязвимость подделки межсайтовых запросов (CRSF)
- Уязвимость межсайтового скриптинга (XSS) была обнаружена при попытке загрузки очень больших файлов
- Уязвимость сценариев (XSS) между сайтами была обнаружена в связи с «Настройщиком»
Некоторые из отчетов об уязвимостях поступают от исследователей безопасности на «HackerOne». В недавнем интервью HackerOne руководитель группы безопасности WordPress Аарон Кэмпбелл сказал, что после публичного запуска своей программы вознаграждений за ошибки команда отметила увеличение количества сообщений.
« Увеличение объема отчетов было резким, как и ожидалось, но нашей команде действительно не приходилось иметь дело с какими-либо недействительными отчетами, прежде чем обнародовать программу." , сказал Кэмпбелл. " Впервые в игру вступила динамика системы Hacker Reputation, и было действительно интересно понять, как лучше всего работать ».
Если WordPress продолжит поддерживать тот же объем отчетов в своей новой учетной записи HackerOne, пользователи могут видеть более частые выпуски безопасности в будущем.
WordPress 4.7.5 также содержит несколько исправлений. Смотрите полный список изменений для более подробной информации.