Вышел WordPress 5.2.4 с исправлением нескольких ошибок безопасности

Дата публикации:Октябрь 15, 2019

Команда разработчиков WordPress выпустила релиз 5.2.4. Новая версия решает 6 проблем безопасности, которые были приватно раскрыты в рамках процедуры ответственного разглашения уязвимостей и багов в WordPress.

Как и в случае с любым другим релизом безопасности, пользователи должны немедленно обновиться до новой версии.

Если у вас на сайте включены автоматические обновления, новая версия уже будет развернута. Обновление безопасности поступило для всех веток WordPress, начиная с 3.7 и заканчивая 5.2. Чтобы включить автообновления, пользователям необходимо перейти в раздел Updates в Консоли. Также пользователи могут скачать релиз WordPress из архивов и вручную запустить обновление.

В анонсе к релизу были отмечены следующие исправленные проблемы безопасности:

  • Хранимые XSS-атаки посредством скриптов, добавляемых через экран кастомайзера.
  • Хранимые XSS-атаки, позволяющие встраивать JavaScript в теги style
  • Баг, позволяющий просматривать сообщения без аутентификации
  • Метод использования заголовка Vary: Origin для заражения кэша JSON GET-запросов (REST API).
  • SSRF-атаки, связанные с валидацией URL
  • Проблемы с валидацией рефереров в админке WP.

Разработчики, которые хотят изучить все изменения кода, могут обратиться к GitHub. Большинство изменений не должны затрагивать плагины и темы. В релизе было удалено свойство запросов static. Такое удаление влияет на классы WP и WP_Query. Разработчики должны протестировать свои плагины в данной версии, чтобы убедиться, что ничего не сломалось (если в их проектах применялось это свойство). Маловероятно, что многие плагины полагались на эту переменную запроса.

WordPress 5.2.4 также включает в себя несколько других багфиксов. Один из них связан с удалением строки кода, которая делала дополнительный вызов скрипта wp-sanitize.js в загрузчике скриптов. Второй фикс устраняет проблему, из-за которой не происходило нормализации пути к директории в Windows-системах, что вело к удалению домена функцией wp_validate_redirect().

Источник: wptavern.com

2 комментария

  1. GetUser says:

    А почему нет изменений UI представленной в бета?

Оставить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Получать новые комментарии по электронной почте. Вы можете подписаться без комментирования.