Вышел WordPress 5.2.4 с исправлением нескольких ошибок безопасности

Команда разработчиков WordPress выпустила релиз 5.2.4. Новая версия решает 6 проблем безопасности, которые были приватно раскрыты в рамках процедуры ответственного разглашения уязвимостей и багов в WordPress.

Как и в случае с любым другим релизом безопасности, пользователи должны немедленно обновиться до новой версии.

Если у вас на сайте включены автоматические обновления, новая версия уже будет развернута. Обновление безопасности поступило для всех веток WordPress, начиная с 3.7 и заканчивая 5.2. Чтобы включить автообновления, пользователям необходимо перейти в раздел Updates в Консоли. Также пользователи могут скачать релиз WordPress из архивов и вручную запустить обновление.

В анонсе к релизу были отмечены следующие исправленные проблемы безопасности:

  • Хранимые XSS-атаки посредством скриптов, добавляемых через экран кастомайзера.
  • Хранимые XSS-атаки, позволяющие встраивать JavaScript в теги style
  • Баг, позволяющий просматривать сообщения без аутентификации
  • Метод использования заголовка Vary: Origin для заражения кэша JSON GET-запросов (REST API).
  • SSRF-атаки, связанные с валидацией URL
  • Проблемы с валидацией рефереров в админке WP.

Разработчики, которые хотят изучить все изменения кода, могут обратиться к GitHub. Большинство изменений не должны затрагивать плагины и темы. В релизе было удалено свойство запросов static. Такое удаление влияет на классы WP и WP_Query. Разработчики должны протестировать свои плагины в данной версии, чтобы убедиться, что ничего не сломалось (если в их проектах применялось это свойство). Маловероятно, что многие плагины полагались на эту переменную запроса.

WordPress 5.2.4 также включает в себя несколько других багфиксов. Один из них связан с удалением строки кода, которая делала дополнительный вызов скрипта wp-sanitize.js в загрузчике скриптов. Второй фикс устраняет проблему, из-за которой не происходило нормализации пути к директории в Windows-системах, что вело к удалению домена функцией wp_validate_redirect().

Источник: wptavern.com

Блог про WordPress
Комментарии: 4
  1. GetUser

    А почему нет изменений UI представленной в бета?

    1. Дмитрий (автор)

      Этот релиз технический. Только исправления безопасности

  2. Ganesa

    А как сейчас у WP в плане защиты? Помню столько было криков, что очень дырявая система, и даже массово ломали. Хотя если брать другие CMS — думаю там тоже такое есть (было). На данный момент просто WP прям завоевал рынок своей простой управляемостью.

    1. Дмитрий (автор)

      Массово ломали? Когда это было хоть?

Добавить комментарий

Получать новые комментарии по электронной почте.