club762.ru
На днях был выпущен WordPress 4.7.5 с исправлениями 6 проблем безопасности. Если вы управляете несколькими сайтами, вы, возможно, заметили уведомления об автоматическом обновлении на вашей почте. Релиз безопасности затрагивает все прошлые версии и рекомендован для немедленной установки. Для сайтов, работающих под управлением WordPress 3.7 и ниже, потребуется выполнить ручное обновление.
Уязвимости, исправленные в версии 4.7.5, были переданы команде безопасности пять разными участниками. Среди исправленных уязвимостей:
- Недостаточная валидация редиректа в классе HTTP
- Неправильная обработка значений метаданных записи в XML-RPC API
- Отсутствие проверок возможностей для метаданных записей в XML-RPC API
- CRSF-уязвимость, обнаруженная в диалоговом окне учетных данных файловой системы
- XSS-уязвимость, обнаруженная при попытке загрузить очень крупные файлы
- XSS-уязвимость, связанная с кастомайзером
Некоторые отчеты по безопасности были получены от исследователей с платформы HackerOne. В недавнем интервью лидер команды безопасности Wordress Аарон Кэмпбелл отметил, что команда получила очень много отчетов, поскольку публично запустила программу bug bounty.
«Как и ожидалось, рост числа отчетов стал значительным», — отметил Аарон. – «Система Hacker Reputation появилась впервые, и было интересно посмотреть, как лучше всего работать с ней».
Если WordPress продолжит получать такой же объем отчетов в новом аккаунте HackerOne, пользователи могут увидеть более частые релизы безопасности в будущем.
WordPress 4.7.5 также включает в себя несколько технических исправлений. Вы можете ознакомиться с полным списком изменений на следующей странице.
