Na chwile przed 3 w nocy, przyszły hurtowe mejle o aktualizacji wszystkich moich WordPressów. Została wgrana wersja oznaczona numerkiem 4.7.5, zawierająca kilka istotnych poprawek związanych z bezpieczeństwem.
Co zostało naprawione? Otóż w zasadzie nic, co specjalnie interesowałoby typowe użytkownika. Ciekawi detali? Proszę bardzo:
- Niewystarczająca weryfikacja przekierowań w klasie HTTP. Zgłosił to Ronni Skansing.
- Niewłaściwa obsługa wartości danych meta wpisów w API XML-RPC. Zgłosił to Sam Thomas.
- Brak sprawdzania uprawnień dla danych meta wpisów w API XML-RPC. Zgłosił to Ben Bidner z Zespołu Bezpieczeństwa WordPressa.
- Podatność typu Cross Site Request Forgery (CRSF) została wykryta w formularzu zapytania o dane dostępu do systemu plików. Zgłosił to Yorick Koster.
- Wykryto podatność typu cross-site scripting (XSS). Objawia się podczas próby wgrania bardzo dużych plików. Zgłosił to Ronni Skansing.
- Wykryto podatność typu cross-site scripting (XSS). Ma ona związek z mechanizmem Personalizacji witryn. Zgłosił to Weston Ruter z Zespołu Bezpieczeństwa WordPressa.
Poprawka powinna zostać zaktualizowana, upewnijcie się jednak z poziomu Waszego WP, że przeszła ona pomyślnie.
TEMATY: wordpress