Разработчики WordPress закрыли семь серьёзных уязвимостей | МАРКЕТИНГ В ИНСТАГРАМ
МАРКЕТИНГ В ИНСТАГРАМ

Разработчики WordPress закрыли семь серьёзных уязвимостей

Команда WordPress выпустила два обновления, чтобы закрыть несколько уязвимостей безопасности. Эти бреши существовали с момента выхода версии 3.7.

Тем, кто перешёл на WordPress 5.0 нужно обновиться до версии 5.0.1. Тем, кто хочется остаться с WordPress 4, нужно обновиться до версии 4.9.9.

Разработчики отмечают, что обновление может вызвать проблемы с совместимостью некоторых плагинов и тем, но это меньшее зло, чем взлом сайта.

Обнаруженные и закрытые уязвимости:

  • AuthenticatedFile Delete – авторы могут изменять метаданные, чтобы удалять те файлы, для которых у них нет соответствующих прав;
  • Authenticated Post Type Bypass – возможность создания несанкционированных типов записей;
  • PHP Object Injection via Meta Data – авторы могут создавать метаданные таким образом, чтобы это приводило к внедрению PHP-объектов.
  • Authenticated Cross-Site Scripting (XSS) – межсайтовый скриптинг;
  • Cross-Site Scripting (XSS) thatcould affect plugins – межсайтовый скриптинг, который может повлиять на плагины;
  • User Activation Screen Search Engine Indexing – может приводитm к индексации email-адресов и паролей, генерируемых по умолчанию, поисковыми системами;
  • File Upload to XSS on Apache Web Servers – владельцы сайтов, размещённых на Apache, могут загружать специально созданные файлы, которые обходят проверку MIME, что приводит к появлению уязвимости межсайтового скриптинга.
  • Обновление CMS следует провести незамедлительно. Использование устаревшей версии WordPress подвергает сайт риску взлома.

    Напомним, что WordPress 5.0 вышла 6 декабря. Самым крупным нововведением в ней стал запуск нового блочного редактора Gutenberg.

    Отметим также, что в ноябре в плагине AMP для WordPress исправили критическую уязвимость, а ранее в этом месяце исследователи выявили серьёзную уязвимость в WP-плагине All in One SEO Pack.

    Добавить комментарий

    Ваш e-mail не будет опубликован. Обязательные поля помечены *