Twórcy WordPress właśnie wydali poprawkę bezpieczeństwa oznaczoną jako 6.0.3.
Poprawką została wgrana do Waszych WordPressów, jeśli oczywiście z tej platformy korzystacie, to oczywiste i jeśli macie włączone automatyczne aktualizacje. Poprawka została wgrana w nocy, na co oczywiście przyszła stosowna informacja mejlowa.
Gdyby się okazało, że nie otrzymaliście mejla, to w takiej sytuacji powinniście przede wszystkim sprawdzić, czy poprawka została wgrana (Logowanie do Panelu -> Kokpit -> Aktualizacje), a jeśli nie, możecie zainstalować ją z poziomu widoku Aktualizacji. Jest też oczywiście możliwość zainstalowania jej ręcznie na serwerze, tutaj należy ją pobrać.
Wrocpress 2022, wskazówki dla każdego użytkownika WordPressa
Poprawka dotyczy stricte bezpieczeństwa i w tym wypadku zawierała kilkanaście usprawnień przeróżnej maści. Pełna lista poniżej:
- Stored XSS via wp-mail.php (post by email) – Toshitsugu Yoneyama of Mitsui Bussan Secure Directions, Inc. via JPCERT
- Open redirect in `wp_nonce_ays` – devrayn
- Sender’s email address is exposed in wp-mail.php – Toshitsugu Yoneyama of Mitsui Bussan Secure Directions, Inc. via JPCERT
- Media Library – Reflected XSS via SQLi – Ben Bidner from the WordPress security team and Marc Montpas from Automattic independently discovered this issue
- CSRF in wp-trackback.php – Simon Scannell
- Stored XSS via the Customizer – Alex Concha from the WordPress security team
- Revert shared user instances introduced in 50790 – Alex Concha and Ben Bidner from the WordPress security team
- Stored XSS in WordPress Core via Comment Editing – Third-party security audit and Alex Concha from the WordPress security team
- Data exposure via the REST Terms/Tags Endpoint – Than Taintor
- Content from multipart emails leaked – Thomas Kräftner
- SQL Injection due to improper sanitization in `WP_Date_Query` – Michael Mazzolini
- RSS Widget: Stored XSS issue – Third-party security audit
- Stored XSS in the search block – Alex Concha of the WP Security team
- Feature Image Block: XSS issue – Third-party security audit
- RSS Block: Stored XSS issue – Third-party security audit
- Fix widget block XSS – Third-party security audit
Oko cieszą zmiany i że społeczność nad nimi czuwa. Prawdziwa jednak moc zmiany pojawi się w nadchodzącym WordPress 6.1, który zostanie wypuszczony 1 listopada.