Большинству пользователям блогов и сайтов на вордпрессе прилетело обновление по воздуху. Для тех, у кого отключено автоматическое обновление настоятельно советуется обновиться вручную. Wordpress 4.7.1 содержит исправление 61 бага и 8 обнаруженных уязвимостей. Поэтому данный релиз вордпресса можно назвать обновлением безопасности.

Обновление безопасности Wordpress 4.7.1
Обновление безопасности Wordpress 4.7.1

Несмотря на достаточно большое количество уязвимостей, я бы сказал они носят достаточно непосредственный характер и многим хакерам будут неинтересны. Рассмотрим более детально новые дыры в вордпресс:

  • Обновление библиотеки PHPMailer, исправляющее удаленное исполнение кода. Несмотря на заверение разработчиков, что вордпресса оно не касается, они решили лишний раз перестраховаться.
  • Раскрытие пользовательских данных для остальные через REST API
  • Межсайтовый скриптинг (XSS) через имя плагина или заголовок версии в update-core.php
  • Межсайтовая подделка запроса (CSRF) при загрузке Flash файла
  • Межсайтовый скриптинг (XSS) через название темы
  • Публикация через проверки email, если настройки по умолчанию не были изменены
  • Межсайтовая подделка запроса (CSRF) была обнаружена при получении в режиме совместимости редактирования виджета
  • Слабая криптографическая защита ключа активации для мультисайтов

Кроме этого были исправлены различные баги: Bootstrap, темы Twenty Seventeen, комментариев, кодировки, поделиться, медиа, HTTP API, кастомизация, REST API, обновление/установка и многие другие.

Обновляемся и остаемся в курсе последних событий безопасности!

Добавить комментарий