Не так давно был анонсирован релиз безопасности Wordpress 4.7.1, посвященный по большинству уязвимости в PHPMailer, как на сервере обновления появилась очередная заплатка критических уязвимостей. Многим уже обновление пришло по воздуху, для тех, кто не любит автообновление, настоятельно рекомендуется применить правки вручную. В данном патче безопасности будет интересна одна SQL-уязвимость в WP_Query, при определенном подходе может вызвать массовые атаки на необновленные сайты.
Итак, рассмотрим более детально найденные уязвимости: их оказалось всего лишь 3:
- Были нарушены права показа для пользователей таксономии: была возможность увидеть лишнее посторонним
- уязвимость SQL-инъекции в классе WP_Query - была добавлена дополнительная обработка спецсимволов
- уязвимость межсайтового скриптинга (XSS) в списке записей
Как видим, обновление небольшое и вносит изменение только в безопасность, функционал в этот раз не был затронут. Поэтому настоятельно рекомендуется всем обновиться и быть в курсе последних новостей!