Разработчики WordPress призывают пользователей перейти на новейшую версию, 4.4.2, устраняющую ряд багов и уязвимости в системе управления контентом.

Обновление, вышедшее в минувший вторник, призвано решить две основные проблемы. Одна из них — возможность подделки запросов на стороне сервера (SSRF), позволяющая создать впечатление, что сервер посылает определенные запросы, с возможным обходом средств управления доступом. Подробности данной уязвимости, обнаруженной датским разработчиком Ронни Скансингом (Ronni Skansing), пока не оглашены.

Устранен также открытый редирект, который индийский исследователь Шайлеш Сутхар (Shailesh Suthar) обнаружил на странице регистрации WordPress.

Обе уязвимости присутствуют в версиях 4.4.1 и ниже, как отметил в блоге WordPress разработчик из Automattic Сэмюэль Сидлер (Samuel Sidler).

В сборках 4.4 и 4.4.1 исправлено еще 17 дефектов, в том числе игнорирование параметра $comments, ошибка SQL-синтаксиса на странице поиска и некорректное упорядочивание комментариев.

Патчи можно применить вручную из панели управления сайтом или прямой загрузкой новейшей версии WordPress.

Это уже второе обновление CMS-системы с начала года; предыдущее, январское, устранило XSS-баг, чреватый удаленной компрометацией.

Категории: Главное, Уязвимости