Вышел WordPress 4.7.5: исправлено 6 проблем безопасности

На днях был выпущен WordPress 4.7.5 с исправлениями 6 проблем безопасности. Если вы управляете несколькими сайтами, вы, возможно, заметили уведомления об автоматическом обновлении на вашей почте. Релиз безопасности затрагивает все прошлые версии и рекомендован для немедленной установки. Для сайтов, работающих под управлением WordPress 3.7 и ниже, потребуется выполнить ручное обновление.

Уязвимости, исправленные в версии 4.7.5, были переданы команде безопасности пять разными участниками. Среди исправленных уязвимостей:

  • Недостаточная валидация редиректа в классе HTTP
  • Неправильная обработка значений метаданных записи в XML-RPC API
  • Отсутствие проверок возможностей для метаданных записей в XML-RPC API
  • CRSF-уязвимость, обнаруженная в диалоговом окне учетных данных файловой системы
  • XSS-уязвимость, обнаруженная при попытке загрузить очень крупные файлы
  • XSS-уязвимость, связанная с кастомайзером

Некоторые отчеты по безопасности были получены от исследователей с платформы HackerOne. В недавнем интервью лидер команды безопасности Wordress Аарон Кэмпбелл отметил, что команда получила очень много отчетов, поскольку публично запустила программу bug bounty.

«Как и ожидалось, рост числа отчетов стал значительным», — отметил Аарон. – «Система Hacker Reputation появилась впервые, и было интересно посмотреть, как лучше всего работать с ней».

Если WordPress продолжит получать такой же объем отчетов в новом аккаунте HackerOne, пользователи могут увидеть более частые релизы безопасности в будущем.

WordPress 4.7.5 также включает в себя несколько технических исправлений. Вы можете ознакомиться с полным списком изменений на следующей странице.

Источник: wptavern.com

Блог про WordPress
Добавить комментарий

Получать новые комментарии по электронной почте.