Разработчики WordPress призывают пользователей CMS-системы применить обновление, устраняющее восемь уязвимостей, в том числе несколько багов классов XSS и CSRF. Новый релиз, WordPress 4.7.1, анонсировал в среду Аарон Кэмпбелл (Aaron D. Campbell), один из участников команды, подготовившей этот выпуск.

Согласно записи Кэмпбелла, одна из XSS допускает эксплуатацию подменой имени плагина или заголовка версии в update-core.php, другая — откатом имени темы. Один из CSRF-багов идентифицировал ИБ-исследователь Абдулла Хуссам (Abdullah Hussam) из Ирака, ранее нашедший бреши в Vine, Twitter и Vimeo; эту уязвимость можно эксплуатировать через загрузку вредоносного Flash-файла.

Еще одну CSRF обнаружил датский программист Ронни Скансинг (Ronni Skansing); она связана с использованием специальных возможностей при редактировании виджетов. Это далеко не первый баг, найденный Скансингом в WordPress; так, в феврале он обнаружил возможность подмены запросов на стороне сервера (SSRF) в сборке WordPress 4.4.1.

Брешь в REST API CMS-системы влекла раскрытие данных пользователей, которые «являются авторами записей публичного типа». Этот баг был обнаружен Брайаном Крогсгардом (Brian Krogsgard), владельцем сайта Post Status, публикующего новости WordPress, и Крисом Джином (Chris Jean), разработчиком инструментов для WordPress в компании iThemes. Проблема с REST API была решена ограничением типов постов, показываемых через этот интерфейс.

Обновление 4.7.1 также решает проблему, связанную с ключами инициирования распределенных по сайтам криптографических устройств, которую разработчики сочли «слабостью криптозащиты». Помимо этого устранены еще 62 менее значительных бага, объявившихся со времени выпуска WordPress 4.7.

Релиз WordPress 4.7.1 также содержит новейшую версию библиотеки PHPMailer, выпущенную две недели назад. Хотя в комментарии Кэмпбелл пишет, что «особых проблем, затрагивающих WordPress или основные плагины, в этой связи не обнаружено», участники проекта решили обновить используемый для нужд email инструмент «из чистой перестраховки».

Категории: Главное, Уязвимости