Сегодня был выпущен WordPress 4.7.5 с исправлениями шести проблем безопасности. Если вы управляете несколькими сайтами, вы могли видеть, что на ваши адреса электронной почты приходили уведомления об автоматическом обновлении. Версия безопасности предназначена для всех предыдущих версий, и WordPress рекомендует немедленное обновление. Сайты с версиями ниже 3,7, вам нужно будет обновить вручную.

Уязвимости, исправленные в версии 4.7.5, были ответственно раскрыты команде безопасности WordPress пятью разными командами, указанными в сообщении. К ним относятся следующие:

  • недостаточная проверка Перенаправление в классе HTTP
  • Неправильная обработка мета-значенийданные опубликовать в XML-RPC API
  • Отсутствие проверки возможностей для мета-данные позже в XML-RPC API
  • В диалоговом окне учетных данных файловой системы обнаружена уязвимость подделки межсайтовых запросов (CRSF)
  • Уязвимость межсайтового скриптинга (XSS) была обнаружена при попытке загрузки очень больших файлов
  • Уязвимость сценариев (XSS) между сайтами была обнаружена в связи с «Настройщиком»

Некоторые из отчетов об уязвимостях поступают от исследователей безопасности на «HackerOne». В недавнем интервью HackerOne руководитель группы безопасности WordPress Аарон Кэмпбелл сказал, что после публичного запуска своей программы вознаграждений за ошибки команда отметила увеличение количества сообщений.

« Увеличение объема отчетов было резким, как и ожидалось, но нашей команде действительно не приходилось иметь дело с какими-либо недействительными отчетами, прежде чем обнародовать программу." , сказал Кэмпбелл. " Впервые в игру вступила динамика системы Hacker Reputation, и было действительно интересно понять, как лучше всего работать ».

Если WordPress продолжит поддерживать тот же объем отчетов в своей новой учетной записи HackerOne, пользователи могут видеть более частые выпуски безопасности в будущем.

WordPress 4.7.5 также содержит несколько исправлений. Смотрите полный список изменений для более подробной информации.

Pin It на Pinterest