Разработчики WordPress закрыли семь серьёзных уязвимостей

Команда WordPress выпустила два обновления, чтобы закрыть семь уязвимостей безопасности. Эти бреши существовали с момента выхода версии 3.7.

Тем, кто перешёл на WordPress 5.0 нужно обновиться до версии 5.0.1. Тем, кто хочется остаться с WordPress 4, нужно обновиться до версии 4.9.9.

Разработчики отмечают, что обновление может вызвать проблемы с совместимостью некоторых плагинов и тем, но это меньшее зло, чем взлом сайта.

Обнаруженные и закрытые уязвимости:

  1. AuthenticatedFile Delete – авторы могут изменять метаданные, чтобы удалять те файлы, для которых у них нет соответствующих прав;
  2. Authenticated Post Type Bypass – возможность создания несанкционированных типов записей;
  3. PHP Object Injection via Meta Data – авторы могут создавать метаданные таким образом, чтобы это приводило к внедрению PHP-объектов.
  4. Authenticated Cross-Site Scripting (XSS) – межсайтовый скриптинг;
  5. Cross-Site Scripting (XSS) thatcould affect plugins – межсайтовый скриптинг, который может повлиять на плагины;
  6. User Activation Screen Search Engine Indexing – может приводитm к индексации email-адресов и паролей, генерируемых по умолчанию, поисковыми системами;
  7. File Upload to XSS on Apache Web Servers – владельцы сайтов, размещённых на Apache, могут загружать специально созданные файлы, которые обходят проверку MIME, что приводит к появлению уязвимости межсайтового скриптинга.

Обновление CMS следует провести незамедлительно. Использование устаревшей версии WordPress подвергает сайт риску взлома.

Напомним, что WordPress 5.0 вышла 6 декабря. Самым крупным нововведением в ней стал запуск нового блочного редактора Gutenberg.

Отметим также, что в ноябре в плагине AMP для WordPress исправили критическую уязвимость, а ранее в этом месяце исследователи выявили серьёзную уязвимость в WP-плагине All in One SEO Pack.




!

Если для Вас конкретно эта новость оказалась важной или интересной - пожалуйста, поделитесь ею в своей любимой социальной сети с помощью кнопок, расположенных под этим текстом. Это поможет нам в будущем делать более качественную подборку материалов, исходя из Ваших потребностей\интересов.




Коды для вставки в блог\форум

blog comments powered by Disqus


Вспомним другие новости из этого раздела?


Internet и сети

←+Ctrl+→

Интересные новости
20 украинских провайдеров не блокируют даже половину санкционных сайтов — исследование
Австралийская блогер притворилась больной раком, чтобы люди покупали ее книгу. А на прибыль накупила криптовалютуАвстралийская блогер притворилась больной раком, чтобы люди покупали ее книгу. А на прибыль накупила криптовалюту
Разработчик AdBlock Plus поддержал проект по борьбе с фейковыми новостями FactmataРазработчик AdBlock Plus поддержал проект по борьбе с фейковыми новостями Factmata
Google отслеживает покупки пользователей с помощью GmailGoogle отслеживает покупки пользователей с помощью Gmail
GML 2019: новые форматы рекламы, редизайн Google Shopping и другие анонсыGML 2019: новые форматы рекламы, редизайн Google Shopping и другие анонсы
Блок рекламы


Похожие новости

«Закрыли сделку за две недели»: основатель People.ai Олег Рогинский — о новом раунде на $60 млн
В WordPress-плагин AMP добавили поддержку StoriesВ WordPress-плагин AMP добавили поддержку Stories
Создатели WordPress представили новую платформу для новостных сайтовСоздатели WordPress представили новую платформу для новостных сайтов
Плагин AMP for WordPress теперь позволяет создавать сайты только на AMPПлагин AMP for WordPress теперь позволяет создавать сайты только на AMP
Релиз WordPress 5.0 запланирован на 6 декабряРелиз WordPress 5.0 запланирован на 6 декабря
57% сайтов на WordPress станут менее защищёнными в декабре57% сайтов на WordPress станут менее защищёнными в декабре
Google подтвердил, что сторонние разработчики могут сканировать переписку в GmailGoogle подтвердил, что сторонние разработчики могут сканировать переписку в Gmail
Сторонние разработчики и сотрудники Google могут читать переписку в Gmail — WSJСторонние разработчики и сотрудники Google могут читать переписку в Gmail — WSJ
W3Techs: 30% всех сайтов в интернете работают на WordPressW3Techs: 30% всех сайтов в интернете работают на WordPress
Временно закрыли сайт Белого дома для петицийВременно закрыли сайт Белого дома для петиций
Последние новости

Подгружаем последние новости