Na chwile przed 3 w nocy, przyszły hurtowe mejle o aktualizacji wszystkich moich WordPressów. Została wgrana wersja oznaczona numerkiem 4.7.5, zawierająca kilka istotnych poprawek związanych z bezpieczeństwem.

Co zostało naprawione? Otóż w zasadzie nic, co specjalnie interesowałoby typowe użytkownika.  Ciekawi detali? Proszę bardzo:

  1. Niewystarczająca weryfikacja przekierowań w klasie HTTP. Zgłosił to Ronni Skansing.
  2. Niewłaściwa obsługa wartości danych meta wpisów w API XML-RPC. Zgłosił to Sam Thomas.
  3. Brak sprawdzania uprawnień dla danych meta wpisów w API XML-RPC. Zgłosił to Ben Bidner z Zespołu Bezpieczeństwa WordPressa.
  4. Podatność typu Cross Site Request Forgery (CRSF) została wykryta w formularzu zapytania o dane dostępu do systemu plików. Zgłosił to Yorick Koster.
  5. Wykryto podatność typu cross-site scripting (XSS). Objawia się podczas próby wgrania bardzo dużych plików. Zgłosił to Ronni Skansing.
  6. Wykryto podatność typu cross-site scripting (XSS). Ma ona związek z mechanizmem Personalizacji witryn. Zgłosił to Weston Ruter z Zespołu Bezpieczeństwa WordPressa.

Poprawka powinna zostać zaktualizowana, upewnijcie się jednak z poziomu Waszego WP, że przeszła ona pomyślnie.