Большинству пользователям блогов и сайтов на вордпрессе прилетело обновление по воздуху. Для тех, у кого отключено автоматическое обновление настоятельно советуется обновиться вручную. Wordpress 4.7.1 содержит исправление 61 бага и 8 обнаруженных уязвимостей. Поэтому данный релиз вордпресса можно назвать обновлением безопасности.
Несмотря на достаточно большое количество уязвимостей, я бы сказал они носят достаточно непосредственный характер и многим хакерам будут неинтересны. Рассмотрим более детально новые дыры в вордпресс:
- Обновление библиотеки PHPMailer, исправляющее удаленное исполнение кода. Несмотря на заверение разработчиков, что вордпресса оно не касается, они решили лишний раз перестраховаться.
- Раскрытие пользовательских данных для остальные через REST API
- Межсайтовый скриптинг (XSS) через имя плагина или заголовок версии в update-core.php
- Межсайтовая подделка запроса (CSRF) при загрузке Flash файла
- Межсайтовый скриптинг (XSS) через название темы
- Публикация через проверки email, если настройки по умолчанию не были изменены
- Межсайтовая подделка запроса (CSRF) была обнаружена при получении в режиме совместимости редактирования виджета
- Слабая криптографическая защита ключа активации для мультисайтов
Кроме этого были исправлены различные баги: Bootstrap, темы Twenty Seventeen, комментариев, кодировки, поделиться, медиа, HTTP API, кастомизация, REST API, обновление/установка и многие другие.
Обновляемся и остаемся в курсе последних событий безопасности!