Сегодня ночью сайтам на вордпресс прилетело очередное обновление безопасности. Те, кто предпочитают обновлять вручную, должны принять к сведению сей факт и поторопиться внести изменения на сайт.

Как и в предыдущий раз ( Обновление безопасности Wordpress 4.7.2 ), в этот раз релиз содержит кроме исправлений изъянов защиты также фиксинг различных багов.

Релиз безопасности Wordpress 4.7.3
Релиз безопасности Wordpress 4.7.3

Рассмотрим более детально найденные уязвимости. С одной стороны они не носят столько критического характера, который позволит взламывать сайты пачками. С другой стороны они открывают возможность целенаправленных атак. Поэтому в любом случае стоит залатать дыры.

Список изменений новой версии вордпресс 4.7.3, были исправлены следующие дыры:

  • Межсайтовая подделка запроса (CSRF) - возможно увеличение нагрузки на сервер;
  • Межсайтовый скриптинг (XSS) через ссылку url с ютуба (embed Youtube);
  • Межсайтовый скриптинг (XSS) в таксономии названия терминов;
  • Межсайтовый скриптинг (XSS) в метаданных мультимедийных файлов;
  • Символы управления могли обойти валидацию редиректа URL;
  • Возможность при удалении администратором плагинов спровоцировать удаление посторонних файлов:

Кроме этого были исправлены 39 функциональных недочета, с полным списком можно ознакомиться на гите, а для любителей поковырять ядро я скину список файлов, которые затронули изменения:

wp-admin/js/common.js
wp-admin/js/customize-controls.min.js
wp-admin/js/editor.min.js
wp-admin/js/customize-nav-menus.min.js
wp-admin/js/tags-box.js
wp-admin/js/customize-controls.js
wp-admin/js/editor.js
wp-admin/js/customize-nav-menus.js
wp-admin/js/common.min.js
wp-admin/js/tags-box.min.js
wp-admin/plugins.php
wp-admin/includes/class-wp-press-this.php
wp-admin/includes/media.php
wp-admin/includes/image.php
wp-admin/about.php
wp-includes/embed.php
wp-includes/class-wp-customize-manager.php
wp-includes/rest-api.php
wp-includes/js/media-views.min.js
wp-includes/js/wp-api.js
wp-includes/js/tinymce/plugins/wpeditimage/plugin.min.js
wp-includes/js/tinymce/plugins/wpeditimage/plugin.js
wp-includes/js/tinymce/wp-tinymce.js.gz
wp-includes/js/customize-selective-refresh.min.js
wp-includes/js/media-views.js
wp-includes/js/customize-preview.min.js
wp-includes/js/customize-views.min.js
wp-includes/js/customize-selective-refresh.js
wp-includes/js/wp-api.min.js
wp-includes/js/customize-preview.js
wp-includes/js/customize-views.js
wp-includes/class-wp-image-editor-imagick.php
wp-includes/class-wp-customize-nav-menus.php
wp-includes/version.php
wp-includes/class-walker-page.php
wp-includes/pluggable.php
wp-includes/formatting.php
wp-includes/class-wp-customize-widgets.php
wp-includes/rest-api/class-wp-rest-request.php
wp-includes/rest-api/endpoints/class-wp-rest-posts-controller.php
wp-includes/rest-api/endpoints/class-wp-rest-revisions-controller.php
wp-includes/rest-api/endpoints/class-wp-rest-users-controller.php
wp-includes/class-wp-customize-setting.php
wp-includes/theme.php
wp-includes/functions.php
wp-includes/media.php
wp-includes/class-wp-http-requests-hooks.php
wp-includes/class-wp-taxonomy.php
wp-content/plugins

Обновляйте свои сайты и поддерживайте актуальность версий!

Добавить комментарий