SEO

Разработчики WordPress закрыли семь серьёзных уязвимостей

18.12.2018

0 0

Команда WordPress выпустила два обновления, чтобы закрыть несколько уязвимостей безопасности. Эти бреши существовали с момента выхода версии 3.7.

Тем, кто перешёл на WordPress 5.0 нужно обновиться до версии 5.0.1. Тем, кто хочется остаться с WordPress 4, нужно обновиться до версии 4.9.9.

Разработчики отмечают, что обновление может вызвать проблемы с совместимостью некоторых плагинов и тем, но это меньшее зло, чем взлом сайта.

Обнаруженные и закрытые уязвимости:

AuthenticatedFile Delete – авторы могут изменять метаданные, чтобы удалять те файлы, для которых у них нет соответствующих прав;

Authenticated Post Type Bypass – возможность создания несанкционированных типов записей;

PHP Object Injection via Meta Data – авторы могут создавать метаданные таким образом, чтобы это приводило к внедрению PHP-объектов.

Authenticated Cross-Site Scripting (XSS) – межсайтовый скриптинг;

Cross-Site Scripting (XSS) thatcould affect plugins – межсайтовый скриптинг, который может повлиять на плагины;

User Activation Screen Search Engine Indexing – может приводитm к индексации email-адресов и паролей, генерируемых по умолчанию, поисковыми системами;

File Upload to XSS on Apache Web Servers – владельцы сайтов, размещённых на Apache, могут загружать специально созданные файлы, которые обходят проверку MIME, что приводит к появлению уязвимости межсайтового скриптинга.

Обновление CMS следует провести незамедлительно. Использование устаревшей версии WordPress подвергает сайт риску взлома.

Напомним, что WordPress 5.0 вышла 6 декабря. Самым крупным нововведением в ней стал запуск нового блочного редактора Gutenberg.

Отметим также, что в ноябре в плагине AMP для WordPress исправили критическую уязвимость, а ранее в этом месяце исследователи выявили серьёзную уязвимость в WP-плагине All in One SEO Pack.

Источник: searchengines.ru