WordPress выпустил версию 5.0.1. Обновления закрывают семь уязвимостей безопасности, существовавших с версии 3.7.
В новой версии устранены следующие уязвимости:
1. AuthenticatedFile Delete – возможность редактировать метаданные, чтобы удалять файлы, на изменение которых нет прав;
2. Authenticated Post Type Bypass – возможность создавать несанкционированные типы записей;
3. PHP Object Injection via Meta Data – возможность создавать метаданные так, чтобы это приводило к внедрению PHP-объектов.
4. Authenticated Cross-Site Scripting (XSS) – межсайтовый скриптинг;
5. Cross-Site Scripting (XSS) thatcould affect plugins – межсайтовый скриптинг, влияющий на плагины;
6. User Activation Screen Search Engine Indexing – индексация поисковыми системами email-адресов и паролей, генерируемых по умолчанию;
7. File Upload to XSS on Apache Web Servers – владельцы сайтов на Apache могут загружать специальные файлы, обходящие проверку MIME и вызывающие появление уязвимости межсайтового скриптинга.
WordPress 5.0 рекомендуется обновить до версии 5.0.1, а версию 4.9 – до 4.9.9. Разработчики советуют обновить систему немедленно, так как использование устаревшей версии подвергает сайт риску взлома.
Напомним, новый WordPress 5.0 был запущен в начале декабря 2018 года. Спустя несколько дней Google запустил тестирование нового плагина для WP – Site Kit. Все желающие могут присоединиться к тестированию.
Источник: WordPress