WordPress 4.2.1: релиз безопасности, исправляющий проблему с недавно найденной XSS уязвимостью

Этим утром мы сообщили о найденной XSS уязвимости в WordPress 4.2, 4.1.2, 4.1.1 и 3.9.3, которая позволяла атакующему скомпрометировать сайт через комментарии. Команда безопасности WordPress быстро исправила уязвимость и выпустила версию 4.2.1 через несколько часов после уведомления.

Официальное заявление WordPress по поводу проблемы с безопасностью:

Команда WordPress узнала о проблеме несколько часов назад; сразу после этого мы занялись ее решением. Эта проблема касается ядра, однако количество уязвимых сайтов гораздо меньше, чем вы могли бы себе представить, поскольку подавляющее большинство WordPress-сайтов использует Akismet, который блокирует эту атаку. Когда исправление будет протестировано и полностью готово, WordPress-пользователи автоматически получат обновление, которое поможет им защитить свой сайт даже в том случае, если у них не установлен Akismet.

Автоматическое обновление уже прошло на сайтах, на которых оно было включено. Если вы не уверены в том, поддерживает ли ваш сайт автоматические фоновые обновления, Гэри Пендергаст рекомендует вам воспользоваться плагином Background Update Tester. Этот плагин проверит ваш сайт на совместимость с автоматическими фоновыми обновлениями и укажет на существующие проблемы (если таковые будут найдены).

Поскольку Akismet активирован более чем на миллионе сайтов, количество затронутых уязвимостью пользователей намного меньше, чем это могло быть.

WordPress 4.2.1 – критический релиз безопасности, позволяющий исправить раскрытую уязвимость. Мы рекомендуем всем пользователям сразу же обновиться. Фоновое обновление, возможно, уже прошло у вас на сайте. Если нет, то вы можете вручную обновить свой сайт, перейдя к разделу Консоль – Обновления.