Разработчики WordPress закрыли семь серьёзных уязвимостей

Команда WordPress выпустила два обновления, чтобы закрыть несколько уязвимостей безопасности. Эти бреши существовали с момента выхода версии 3.7.

Тем, кто перешёл на WordPress 5.0 нужно обновиться до версии 5.0.1. Тем, кто хочется остаться с WordPress 4, нужно обновиться до версии 4.9.9.

Разработчики отмечают, что обновление может вызвать проблемы с совместимостью некоторых плагинов и тем, но это меньшее зло, чем взлом сайта.

Обнаруженные и закрытые уязвимости:

  1. AuthenticatedFile Delete – авторы могут изменять метаданные, чтобы удалять те файлы, для которых у них нет соответствующих прав;
  2. Authenticated Post Type Bypass – возможность создания несанкционированных типов записей;
  3. PHP Object Injection via Meta Data – авторы могут создавать метаданные таким образом, чтобы это приводило к внедрению PHP-объектов.
  4. Authenticated Cross-Site Scripting (XSS) – межсайтовый скриптинг;
  5. Cross-Site Scripting (XSS) thatcould affect plugins – межсайтовый скриптинг, который может повлиять на плагины;
  6. User Activation Screen Search Engine Indexing – может приводитm к индексации email-адресов и паролей, генерируемых по умолчанию, поисковыми системами;
  7. File Upload to XSS on Apache Web Servers – владельцы сайтов, размещённых на Apache, могут загружать специально созданные файлы, которые обходят проверку MIME, что приводит к появлению уязвимости межсайтового скриптинга.

Обновление CMS следует провести незамедлительно. Использование устаревшей версии WordPress подвергает сайт риску взлома.

Напомним, что WordPress 5.0 вышла 6 декабря. Самым крупным нововведением в ней стал запуск нового блочного редактора Gutenberg.

Отметим также, что в ноябре в плагине AMP для WordPress исправили критическую уязвимость, а ранее в этом месяце исследователи выявили серьёзную уязвимость в WP-плагине All in One SEO Pack.

subscribe

Подпишитесь на рассылку SearchEngines

— Статьи мировых экспертов

— Аналитические обзоры

— Важные новости

— Горячие темы с нашего форума

preview В медийных кампаниях в Директе появилась рекомендация цены

В медийных кампаниях в Директе появилась рекомендация цены

В интерфейсе медийных кампаний в Директе появилась подсказка — рекомендованная средняя цена за тысячу показов
preview Яндекс.Маркет назвал самые популярные в 2018 году товары

Яндекс.Маркет назвал самые популярные в 2018 году товары

Самыми популярными на Маркете стали товары для дома...
preview Mediascope подсчитала российскую аудиторию порноресурсов

Mediascope подсчитала российскую аудиторию порноресурсов

Исследовательская компания Mediascope подсчитала российскую аудиторию порносайтов
preview Госдума ограничит частные вложения в коммерческие краудфандинговые проекты

Госдума ограничит частные вложения в коммерческие краудфандинговые проекты

Неквалифицированные инвесторы в России смогут вкладывать в проекты через краудфандинговые платформы не более 600 тыс. рублей в год
preview Госдума РФ рассмотрит законопроект об автономной работе рунета

Госдума РФ рассмотрит законопроект об автономной работе рунета

В Госдуму внесен законопроект об обеспечении автономной работы российского сегмента интернета в случае отключения от глобальной инфраструктуры мировой паутины
preview На Яндекс.Маркете появился каталог алкогольной продукции

На Яндекс.Маркете появился каталог алкогольной продукции

Яндекс.Маркет запустил в тестовом режиме собственный каталог алкогольной продукции, где пользователи могут сравнивать цены на отдельные товары и через контакты на сайте...