WordPress 4.7.5 został dziś wydany z poprawkami sześciu problemów bezpieczeństwa. Jeśli zarządzasz wieloma witrynami, na Twoich adresach e-mail mogły trafić automatyczne powiadomienia o aktualizacjach. Wersja zabezpieczeń jest przeznaczona dla wszystkich poprzednich wersji, a WordPress zaleca natychmiastową aktualizację. Witryny z wersjami starszymi niż 3,7 trzeba będzie zaktualizować ręcznie.
Luki poprawione w wersji 4.7.5 zostały odpowiedzialnie ujawnione zespołowi bezpieczeństwa WordPress przez pięć różnych zespołów wymienionych w poście. Są to między innymi:
- Nieprawidłowa weryfikacja przekierowania w klasie HTTP
- Nieprawidłowa obsługa wartości metadonnées post w interfejsie API XML-RPC
- Brak weryfikacji możliwości dla meta-données później w API XML-RPC
- Luka w zabezpieczeniach typu Cross Site Request Forgery (CRSF) wykryta w oknie dialogowym poświadczeń systemu plików
- Podczas próby pobrania bardzo dużych plików odkryto lukę w skryptach krzyżowych (XSS)
- Wykryto lukę w zabezpieczeniach skryptów (XSS) między witrynami w związku z narzędziem „Customizer”
Kilka raportów o lukach pochodzi od analityków bezpieczeństwa w „HackerOne”. W niedawnym wywiadzie dla HackerOne, lider zespołu ds. Bezpieczeństwa WordPress, Aaron Campbell, powiedział, że zespół odnotował wzrost zgłaszania od czasu publicznego uruchomienia programu zgłaszania błędów.
« Zgodnie z oczekiwaniami wzrost liczby zgłoszeń był drastyczny, ale nasz zespół tak naprawdę nie musiał zajmować się żadnymi nieprawidłowymi zgłoszeniami przed upublicznieniem programu.", powiedział Campbell, " Dynamika systemu Hacker Reputation naprawdę weszła w grę po raz pierwszy i naprawdę interesujące było zrozumienie, jak najlepiej działać ”.
Jeśli WordPress będzie nadal utrzymywał tę samą liczbę raportów na swoim nowym koncie HackerOne, użytkownicy mogą widzieć częstsze aktualizacje zabezpieczeń w przyszłości.
WordPress 4.7.5 zawiera również garść poprawek konserwacyjnych. Aby uzyskać więcej informacji, zobacz pełną listę zmian.