В CMS WordPress закрыто семь серьёзных уязвимостей

Команда разработчиков CMS WordPress выпустила два важнейших обновления, нацеленных на закрытие сразу нескольких уязвимостей в области безопасности.

Как оказалось устраняемые нынешним обновлением бреши в системе безопасности CMS WordPress существовали с момента релиза версии 3.7.

На сегодняшний день ситуация такова, что тем, кто перешёл на использование WordPress 5.0 необходимо обновиться до версии 5.0.1. В свою очередь тем, кто хочет продолжить использование WordPress 4, необходимо обновиться до версии 4.9.9.

Одновременно с этим необходимо отметить, что нынешнее обновление может спровоцировать проблемы, связанные с совместимостью некоторых плагинов и тем оформления, но это меньшее зло, чем взлом сайта.

Давайте рассмотрим уязвимости, устраняемые выпущенными обновлениями более подробно.

  • AuthenticatedFile Delete – эта уязвимость позволяла авторам изменять метаданные, чтобы удалять те файлы, для доступа к которым необходимы отсутствующие у них права;
  • Authenticated Post Type Bypass – эта уязвимость открывала возможность создания несанкционированных типов записей;
  • PHP Object Injection via Meta Data – эта уязвимость позволяла авторам создавать метаданные таким образом, чтобы они инициировали внедрение PHP-объектов.
  • Authenticated Cross-Site Scripting (XSS) – межсайтовый скриптинг также известный как XSS-атаки;
  • Cross-Site Scripting (XSS) thatcould affect plugins – особая разновидность межсайтового скриптинга, который может повлиять на работу плагинов WordPress;
  • User Activation Screen Search Engine Indexing – эта уязвимость могла приводить к индексации поисковыми системами адресов электронной почты, а также паролей, генерируемых по умолчанию;
  • File Upload to XSS on Apache Web Servers – из-за наличия этой уязвимости сайты, размещённые на сервере Apache, позволяли загружать специально созданные файлы, обходящие проверку MIME, что приводило к появлению уязвимости, позволяющей реализовывать межсайтовый скриптинг.

По словам представителей команды разработчиков, обновление CMS WordPress необходимо осуществить как можно скорее. В первую очередь это связано с тем, что использование устаревшей версии движка подвергает сайты реальному риску взлома.

В заключение стоит напомнить, что официальный релиз CMS WordPress версии 5.0 состоялся в начале текущего месяца. Наиболее существенным обновлением, реализованным в рамках этой версии популярнейшей CMS-системы, стал запуск нового блочного редактора, который получил название Gutenberg.

Меню