WordPress 4.7.5 objavljen je danas s popravcima šest sigurnosnih problema. Ako upravljate više web lokacija, možda ste vidjeli automatske obavijesti o ažuriranju na vaše adrese e-pošte. Sigurnosna verzija je za sve prethodne verzije i WordPress preporučuje trenutno ažuriranje. Web mjesta koja imaju verzije niže od 3,7 morat ćete ručno ažurirati.

Ranjivosti ispravljene u verziji 4.7.5 odgovorno je otkrilo WordPress sigurnosnom timu pet različitih timova zaslužnih u postu. To uključuje sljedeće:

  • Neodgovarajuća provjera valjanosti preusmjeravanja u HTTP klasi
  • Neispravno rukovanje meta vrijednostimadonnées objaviti u XML-RPC API-ju
  • Nedostatak provjere sposobnosti za meta-données kasnije u XML-RPC API-ju
  • Ranjivost krivotvorenja zahtjeva za više web lokacija (CRSF) otkrivena u dijaloškom okviru vjerodajnica datotečnog sustava
  • Otkrivena je ranjivost skriptovanih skriptu (XSS) prilikom pokušaja preuzimanja vrlo velikih datoteka
  • Otkrivena je ranjivost skriptiranja (XSS) između web lokacija u vezi s "Customizerom"

Nekoliko izvješća o ranjivosti potječu od sigurnosnih istraživača na "HackerOne". U nedavnom intervjuu za HackerOne, čelnik sigurnosnog tima za WordPress Aaron Campbell rekao je da je tim zabilježio porast u izvješćivanju od javnog pokretanja svog programa nagrađivanja protiv bugova.

« Povećanje broja izvješća bilo je drastično očekivano, ali naš se tim doista nije morao nositi s nevaljanim izvješćima prije objavljivanja programa." , rekao je Campbell, " Dinamika sustava Hacker Reputation zaista je prvi put ušla u igru ​​i bilo je zaista zanimljivo shvatiti kako najbolje raditi. ".

Ako WordPress i dalje održava isti obujam izvješćivanja na svom novom HackerOne računu, korisnici će u budućnosti moći vidjeti češća sigurnosna izdanja.

WordPress 4.7.5 također uključuje nekoliko ispravki održavanja. Pogledajte cjelovit popis promjena za više detalja.

Pin It on Pinterest