WordPress 4.7.5 objavljen je danas s popravcima šest sigurnosnih problema. Ako upravljate više web lokacija, možda ste vidjeli automatske obavijesti o ažuriranju na vaše adrese e-pošte. Sigurnosna verzija je za sve prethodne verzije i WordPress preporučuje trenutno ažuriranje. Web mjesta koja imaju verzije niže od 3,7 morat ćete ručno ažurirati.
Ranjivosti ispravljene u verziji 4.7.5 odgovorno je otkrilo WordPress sigurnosnom timu pet različitih timova zaslužnih u postu. To uključuje sljedeće:
- Neodgovarajuća provjera valjanosti preusmjeravanja u HTTP klasi
- Neispravno rukovanje meta vrijednostimadonnées objaviti u XML-RPC API-ju
- Nedostatak provjere sposobnosti za meta-données kasnije u XML-RPC API-ju
- Ranjivost krivotvorenja zahtjeva za više web lokacija (CRSF) otkrivena u dijaloškom okviru vjerodajnica datotečnog sustava
- Otkrivena je ranjivost skriptovanih skriptu (XSS) prilikom pokušaja preuzimanja vrlo velikih datoteka
- Otkrivena je ranjivost skriptiranja (XSS) između web lokacija u vezi s "Customizerom"
Nekoliko izvješća o ranjivosti potječu od sigurnosnih istraživača na "HackerOne". U nedavnom intervjuu za HackerOne, čelnik sigurnosnog tima za WordPress Aaron Campbell rekao je da je tim zabilježio porast u izvješćivanju od javnog pokretanja svog programa nagrađivanja protiv bugova.
« Povećanje broja izvješća bilo je drastično očekivano, ali naš se tim doista nije morao nositi s nevaljanim izvješćima prije objavljivanja programa." , rekao je Campbell, " Dinamika sustava Hacker Reputation zaista je prvi put ušla u igru i bilo je zaista zanimljivo shvatiti kako najbolje raditi. ".
Ako WordPress i dalje održava isti obujam izvješćivanja na svom novom HackerOne računu, korisnici će u budućnosti moći vidjeti češća sigurnosna izdanja.
WordPress 4.7.5 također uključuje nekoliko ispravki održavanja. Pogledajte cjelovit popis promjena za više detalja.