Команда WordPress выпустила два обновления, чтобы закрыть несколько уязвимостей безопасности. Эти бреши существовали с момента выхода версии 3.7.
Тем, кто перешёл на WordPress 5.0 нужно обновиться до версии 5.0.1. Тем, кто хочется остаться с WordPress 4, нужно обновиться до версии 4.9.9.
Разработчики отмечают, что обновление может вызвать проблемы с совместимостью некоторых плагинов и тем, но это меньшее зло, чем взлом сайта.
Обнаруженные и закрытые уязвимости:
- AuthenticatedFile Delete – авторы могут изменять метаданные, чтобы удалять те файлы, для которых у них нет соответствующих прав;
- Authenticated Post Type Bypass – возможность создания несанкционированных типов записей;
- PHP Object Injection via Meta Data – авторы могут создавать метаданные таким образом, чтобы это приводило к внедрению PHP-объектов.
- Authenticated Cross-Site Scripting (XSS) – межсайтовый скриптинг;
- Cross-Site Scripting (XSS) thatcould affect plugins – межсайтовый скриптинг, который может повлиять на плагины;
- User Activation Screen Search Engine Indexing – может приводитm к индексации email-адресов и паролей, генерируемых по умолчанию, поисковыми системами;
- File Upload to XSS on Apache Web Servers – владельцы сайтов, размещённых на Apache, могут загружать специально созданные файлы, которые обходят проверку MIME, что приводит к появлению уязвимости межсайтового скриптинга.
Обновление CMS следует провести незамедлительно. Использование устаревшей версии WordPress подвергает сайт риску взлома.
Напомним, что WordPress 5.0 вышла 6 декабря. Самым крупным нововведением в ней стал запуск нового блочного редактора Gutenberg.
Отметим также, что в ноябре в плагине AMP для WordPress исправили критическую уязвимость, а ранее в этом месяце исследователи выявили серьёзную уязвимость в WP-плагине All in One SEO Pack.