На прошлой неделе вышла сборка 4.5.3 WordPress; этот ИБ-выпуск содержит патчи, актуальные для всех версий популярной платформы управления контентом.

Совокупно разработчики устранили более 20 уязвимостей, в том числе 17 привнесенных в трех предыдущих релизах, которые были анонсированы в текущем году. Многие из ныне закрываемых брешей допускают удаленный эксплойт и позволяют установить контроль над сайтом, использующим WordPress.

Новая сборка пополнила серию выпусков, нацеленных на усиление безопасности CMS-платформы. С начала года WordPress латали уже три раза, а в апреле начался бесплатный перевод на HTTPS всех кастомных доменов, за хостинг которых отвечает WordPress.com.

Новые патчи закрывают уязвимости, актуальные для релизов 4.5.2 и ниже. Это прежде всего обход редиректа в API «настройщика» — фреймворка, используемого разработчиками для предварительного просмотра изменений, вносимых в темы WordPress. Устранены также две возможности для XSS-атаки через подмену имени вложения, баг раскрытия информации в журнале изменений, отказ в обслуживании при использовании протокола oEmbed, обеспечивающего отображение стороннего фото и видео на сайте, а также брешь, позволяющая без соответствующих прав удалять категории из публикаций.

Список новых багов завершают находки ИБ-команды WordPress: смена пароля посредством кражи куки и откат sanitize_file_name до менее надежного уровня.

Категории: Уязвимости