Разработчики WordPress выпустили абсолютно забагованный релиз безопасности 6.9.2, который приводил к сбоям на некоторых сайтах (к так называемому белому экрану смерти). В итоге им пришлось оперативно выпускать версию 6.9.3, содержащую в себе багфиксы. Но и ее оказалось недостаточно: на днях вышел релиз WordPress 6.9.4, прикрывающий дыры прошлых версий.
Wordfence, компания, специализирующаяся на безопасности WP, опубликовала подробную информацию о четырех уязвимостях средней серьезности; на WordPress.org в списке значится 10 уязвимостей, причем одна из них связана с внешней PHP-библиотекой.
Создатели WordPress опубликовали следующий анонс, объясняющий необходимость выпуска дополнительного обновления:
«WordPress 6.9.2 и WordPress 6.9.3 были выпущены вчера. Они устраняют 10 проблем безопасности, а также баг, который влиял на загрузку шаблонов.
Команда безопасности WP обнаружила, что не все багфиксы, связанные с безопасностью, были применены в полном объеме, а потому вышел релиз 6.9.4, содержащий дополнительные исправления.
Этот релиз посвящен безопасности, следовательно, рекомендуется немедленно обновить свои сайты».
Хронология сбоев WordPress-сайтов
Как только вышло обновление WordPress 6.9.2, пользователи начали сообщать о том, что их сайты «легли». На Reddit некоторые предположили, что проблема связана с вайбкодингом (намеки на то, как писался код патча). Вскоре после выхода релиза на официальных форумах WP началось жаркое обсуждение проблем с функционированием сайтов.
В первом посте отмечалось следующее:
«Несколько минут назад я получил обновление от Dreamhost: мой сайт был автоматически обновлен до версии WP 6.9.2. Но теперь любая страница, которую я пытался загрузить, выглядела пустой. Я по-прежнему мог входить в консоль, все страницы были доступны для редактирования, контент имелся, но когда я переходил на главную страницу или на любую другую страницу, ничего не отображалось (исходный код тоже был пустым).
Версия WordPress 6.9.2, тема Crio, все обновления темы установлены».
Затем появились и другие пользователи, которые описывали те же проблемы. Один из разработчиков ответил, что проблема связана с некоторыми темами, а потому предложил переключиться на другой шаблон. Через семь часов человек, который начал этот пост, отметил, что вышел релиз 6.9.3, устраняющий ошибки 6.9.2. Оказалось, что эти ошибки действительно были вызваны кодом некоторых тем.
Официальный ответ от WordPress
Проблема со сбоями сайтов, по всей видимости, была связана с нестандартным способом загрузки шаблонов в некоторых темах. Отсюда и конфликт с патчем.
«В релизе 6.9.3 была исправлена ошибка, характерная для определенных тем, использующих необычный механизм «строковых объектов» при загрузке путей шаблонов. Это и привело к сбоям в релизе 6.9.2.
Несмотря на то что данный подход не является официальным (фильтр template_include принимает только строку), команда WP решила исправить этот нюанс в релизе WP 6.9.3. Пользователям, темы которых перестали работать, рекомендуется обновиться до версии 6.9.3, чтобы восстановить работоспособность интерфейса своего сайта».
Что говорят представители Wordfence
Компания Wordfence опубликовала подробную информацию о четырех уязвимостях с рейтингами CVSS от 4.3 до 6.4. Для эксплуатации всех этих уязвимостей требуется аутентификация, то есть злоумышленнику сначала необходимо получить права доступа, начиная от подписчика и заканчивая администратором, чтобы совершить атаку.
Разработчики WordPress советуют оперативно обновиться.
Источник: https://www.searchenginejournal.com/
