Вышел WordPress 4.5.2, исправляющий две уязвимости безопасности

Дата публикации:Май 6, 2016

wordpressnew

Команда WordPress выпустила свежую версию WordPress 4.5.2, которая исправляет две уязвимости безопасности в версиях WordPress 4.5.1 и ниже. Первая уязвимость – SOME (Same-Origin Method Execution) в Plupload, сторонней библиотеке, которая используется в WordPress для загрузки файлов. Вторая уязвимость – это XSS-уязвимость в MediaElement.js, сторонней библиотеке, используемой для медиаплееров.

Same Origin Method Execution – новая атака, основанная на использовании callback-параметра JSONP, позволяющая выполнять произвольные методы на уязвимом сайте. Как только жертва переходит по ссылке злоумышленника, открывается новое окно или фрейм, в котором выполняется вредоносный код. Жертва обычно даже не понимает, что произошло. Выполнение конкретных методов Same Origin Method Execution зависит от атакуемого сайта. Чтобы защититься от подобной атаки, можно: использовать статичные имена функций для callback; внести callback’и в белый список на стороне сервера; зарегистрировать callback’и.

Автоматические обновления уже были выгружены на сайтах. Если вы не хотите ждать, вы можете обновиться вручную через панель администратора. В дополнение к релизу команда WordPress также опубликовала пост, посвященный многочисленным уязвимостям, найденным в ImageMagick, популярном скрипте обработки изображений, который используется многими хостингами. Пост описывает особенности уязвимостей, а также решения, которые помогают устранить их.

Поделиться

3 комментария

  1. Nickys says:

    Обновился я на автомате, бложек испустил дух. Вспомнил, что functions.php редактировал, пришлось в бэкапах ковыряться. Вообще, зачастил WP с обновлениями, а существенных различий и не найти.

  2. Радует то, что движок постоянно обновляется и тем самым облегчает жизнь многим владельцам сайтов, которые просто хотят иметь блог и не заморачиваться с технической частью его функционала.

  3. А мне вот пришлось откатываться на 4.3.4. Плагин автопарсинга ни в какую не хочет работать на новой версии. Разработчик плагин не обновляет, видимо он завязан на какие-то особенности старой версии. Долго бился с тем, почему плагин не хочет работать, а оказалось все просто. Так что на этих проектах теперь обновления закрыты. Толковых альтернатив этому плагину нет, а те что есть намного сложнее и не интуитивнее. Даже не охота разбираться. Тем более, что с новыми версиями движка ничего глобально не меняется.

Оставить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Получать новые комментарии по электронной почте. Вы можете подписаться без комментирования.