Сегодня ночью сайтам на вордпресс прилетело очередное обновление безопасности. Те, кто предпочитают обновлять вручную, должны принять к сведению сей факт и поторопиться внести изменения на сайт.
Как и в предыдущий раз ( Обновление безопасности Wordpress 4.7.2 ), в этот раз релиз содержит кроме исправлений изъянов защиты также фиксинг различных багов.
Рассмотрим более детально найденные уязвимости. С одной стороны они не носят столько критического характера, который позволит взламывать сайты пачками. С другой стороны они открывают возможность целенаправленных атак. Поэтому в любом случае стоит залатать дыры.
Список изменений новой версии вордпресс 4.7.3, были исправлены следующие дыры:
- Межсайтовая подделка запроса (CSRF) - возможно увеличение нагрузки на сервер;
- Межсайтовый скриптинг (XSS) через ссылку url с ютуба (embed Youtube);
- Межсайтовый скриптинг (XSS) в таксономии названия терминов;
- Межсайтовый скриптинг (XSS) в метаданных мультимедийных файлов;
- Символы управления могли обойти валидацию редиректа URL;
- Возможность при удалении администратором плагинов спровоцировать удаление посторонних файлов:
Кроме этого были исправлены 39 функциональных недочета, с полным списком можно ознакомиться на гите, а для любителей поковырять ядро я скину список файлов, которые затронули изменения:
wp-admin/js/common.js wp-admin/js/customize-controls.min.js wp-admin/js/editor.min.js wp-admin/js/customize-nav-menus.min.js wp-admin/js/tags-box.js wp-admin/js/customize-controls.js wp-admin/js/editor.js wp-admin/js/customize-nav-menus.js wp-admin/js/common.min.js wp-admin/js/tags-box.min.js wp-admin/plugins.php wp-admin/includes/class-wp-press-this.php wp-admin/includes/media.php wp-admin/includes/image.php wp-admin/about.php wp-includes/embed.php wp-includes/class-wp-customize-manager.php wp-includes/rest-api.php wp-includes/js/media-views.min.js wp-includes/js/wp-api.js wp-includes/js/tinymce/plugins/wpeditimage/plugin.min.js wp-includes/js/tinymce/plugins/wpeditimage/plugin.js wp-includes/js/tinymce/wp-tinymce.js.gz wp-includes/js/customize-selective-refresh.min.js wp-includes/js/media-views.js wp-includes/js/customize-preview.min.js wp-includes/js/customize-views.min.js wp-includes/js/customize-selective-refresh.js wp-includes/js/wp-api.min.js wp-includes/js/customize-preview.js wp-includes/js/customize-views.js wp-includes/class-wp-image-editor-imagick.php wp-includes/class-wp-customize-nav-menus.php wp-includes/version.php wp-includes/class-walker-page.php wp-includes/pluggable.php wp-includes/formatting.php wp-includes/class-wp-customize-widgets.php wp-includes/rest-api/class-wp-rest-request.php wp-includes/rest-api/endpoints/class-wp-rest-posts-controller.php wp-includes/rest-api/endpoints/class-wp-rest-revisions-controller.php wp-includes/rest-api/endpoints/class-wp-rest-users-controller.php wp-includes/class-wp-customize-setting.php wp-includes/theme.php wp-includes/functions.php wp-includes/media.php wp-includes/class-wp-http-requests-hooks.php wp-includes/class-wp-taxonomy.php wp-content/plugins
Обновляйте свои сайты и поддерживайте актуальность версий!