Twórcy WordPress właśnie wydali poprawkę bezpieczeństwa oznaczoną jako 6.0.3.

Poprawką została wgrana do Waszych WordPressów, jeśli oczywiście z tej platformy korzystacie, to oczywiste i jeśli macie włączone automatyczne aktualizacje. Poprawka została wgrana w nocy, na co oczywiście przyszła stosowna informacja mejlowa.

Gdyby się okazało, że nie otrzymaliście mejla, to w takiej sytuacji powinniście przede wszystkim sprawdzić, czy poprawka została wgrana (Logowanie do Panelu -> Kokpit -> Aktualizacje), a jeśli nie, możecie zainstalować ją z poziomu widoku Aktualizacji. Jest też oczywiście możliwość zainstalowania jej ręcznie na serwerze, tutaj należy ją pobrać.

Wrocpress 2022, wskazówki dla każdego użytkownika WordPressa

Poprawka dotyczy stricte bezpieczeństwa i w tym wypadku zawierała kilkanaście usprawnień przeróżnej maści. Pełna lista poniżej:

  • Stored XSS via wp-mail.php (post by email) – Toshitsugu Yoneyama of Mitsui Bussan Secure Directions, Inc. via JPCERT
  • Open redirect in `wp_nonce_ays` – devrayn
  • Sender’s email address is exposed in wp-mail.php – Toshitsugu Yoneyama of Mitsui Bussan Secure Directions, Inc. via JPCERT
  • Media Library – Reflected XSS via SQLi – Ben Bidner from the WordPress security team and Marc Montpas from Automattic independently discovered this issue
  • CSRF in wp-trackback.php – Simon Scannell
  • Stored XSS via the Customizer – Alex Concha from the WordPress security team
  • Revert shared user instances introduced in 50790 – Alex Concha and Ben Bidner from the WordPress security team
  • Stored XSS in WordPress Core via Comment Editing – Third-party security audit and Alex Concha from the WordPress security team
  • Data exposure via the REST Terms/Tags Endpoint – Than Taintor
  • Content from multipart emails leaked – Thomas Kräftner
  • SQL Injection due to improper sanitization in `WP_Date_Query` – Michael Mazzolini
  • RSS Widget: Stored XSS issue – Third-party security audit
  • Stored XSS in the search block – Alex Concha of the WP Security team
  • Feature Image Block: XSS issue – Third-party security audit
  • RSS Block: Stored XSS issue – Third-party security audit
  • Fix widget block XSS – Third-party security audit

Oko cieszą zmiany i że społeczność nad nimi czuwa. Prawdziwa jednak moc zmiany pojawi się w nadchodzącym WordPress 6.1, który zostanie wypuszczony 1 listopada.