WordPress 4.7.5 a fost lansat astăzi cu soluții la șase probleme de securitate. Dacă gestionați mai multe site-uri, este posibil să fi văzut notificări de actualizare automată care ajung pe adresele dvs. de e-mail. Versiunea de securitate este pentru toate versiunile anterioare și WordPress recomandă o actualizare imediată. Deoarece site-urile au versiuni mai mici de 3,7, va trebui să actualizați manual.
Vulnerabilitățile corectate în versiunea 4.7.5 au fost dezvăluite în mod responsabil echipei de securitate WordPress de către cinci echipe diferite creditate în postare. Acestea includ următoarele:
- Validarea necorespunzătoare de redirecționare în clasa HTTP
- Manipularea necorespunzătoare a metavalorilordonnées postați în API-ul XML-RPC
- Lipsa verificării capacității pentru meta-données mai târziu în API-ul XML-RPC
- Vulnerabilitate Cross Site Request Forgery (CRSF) descoperită în dialogul acreditării sistemului de fișiere
- A fost descoperită o vulnerabilitate de scripturi inter-site (XSS) când încercați să descărcați fișiere foarte mari
- O vulnerabilitate de scripting (XSS) între site-uri a fost descoperită în legătură cu „Customizer”
Mai multe dintre rapoartele de vulnerabilitate provin de la cercetători de securitate de pe „HackerOne”. Într-un interviu recent cu HackerOne, liderul echipei de securitate WordPress, Aaron Campbell, a declarat că echipa a înregistrat o creștere a raportărilor de la lansarea publică a programului său de recompensare a erorilor.
« Creșterea volumului de rapoarte a fost drastică așa cum era de așteptat, dar echipa noastră nu a trebuit să se ocupe de rapoarte nevalide înainte de a face public programul." , a spus Campbell. " Dinamica sistemului de reputație a hackerilor a intrat într-adevăr în joc pentru prima dată și a fost foarte interesant să înțelegem cum să funcționăm cel mai bine ”.
Dacă WordPress continuă să mențină același volum de raportare pe noul său cont HackerOne, utilizatorii pot vedea versiuni de securitate mai frecvente în viitor.
WordPress 4.7.5 include și o serie de soluții de întreținere. Consultați lista completă a modificărilor pentru mai multe detalii.
