WordPress 4.7.5 byl dnes vydán s opravami šesti bezpečnostních problémů. Pokud spravujete více webů, možná se vám na vašich e-mailových adresách zobrazila upozornění na automatické aktualizace. Verze zabezpečení je pro všechny předchozí verze a WordPress doporučuje okamžitou aktualizaci. Vzhledem k tomu, že stránky mají verze nižší než 3,7, budete je muset aktualizovat ručně.
Zranitelnosti opravené ve verzi 4.7.5 byly odpovědně odhaleny týmu zabezpečení WordPress pěti různými týmy připisovanými v příspěvku. Patří mezi ně následující:
- Nedostatečné ověření přesměrování ve třídě HTTP
- Nesprávné zpracování meta hodnotdonnées příspěvek v XML-RPC API
- Nedostatek ověření schopností pro meta-données později v XML-RPC API
- Chyba zabezpečení Cross Site Request Forgery (CRSF) objevená v dialogovém okně pověření systému souborů
- Při pokusu o stažení velmi velkých souborů byla objevena chyba zabezpečení skriptování mezi weby (XSS)
- V souvislosti s nástrojem „Customizer“ byla objevena chyba zabezpečení XSS mezi weby.
Několik zpráv o zranitelnosti pochází od bezpečnostních vědců na serveru „HackerOne“. V nedávném rozhovoru s HackerOne, vedoucí bezpečnostního týmu WordPress Aaron Campbell uvedl, že tým zaznamenal nárůst hlášení od veřejného spuštění programu odměn za chyby.
« Zvýšení objemu zpráv bylo podle očekávání drastické, ale náš tým se před zveřejněním programu nemusel zabývat žádnými neplatnými zprávami." , řekl Campbell, " Dynamika systému Hacker Reputation skutečně vstoupila do hry poprvé a bylo opravdu zajímavé pochopit, jak pracovat nejlépe “.
Pokud WordPress na svém novém účtu HackerOne nadále udržuje stejný objem zpráv, uživatelé mohou v budoucnu zaznamenat častější vydání zabezpečení.
WordPress 4.7.5 také obsahuje několik oprav údržby. Další podrobnosti naleznete v úplném seznamu změn.
