WordPress 4.7.5 blev frigivet i dag med rettelser til seks sikkerhedsproblemer. Hvis du administrerer flere sider, har du muligvis set automatiske opdateringsmeddelelser lande på dine e-mail-adresser. Sikkerhedsversionen gælder for alle tidligere versioner, og WordPress anbefaler en øjeblikkelig opdatering. Websteder, der har versioner under 3,7, skal du opdatere manuelt.
Sårbarhederne, der blev korrigeret i version 4.7.5, blev videregivet ansvarligt til WordPress-sikkerhedsteamet af fem forskellige hold krediteret i stillingen. Disse inkluderer følgende:
- Utilstrækkelig omdirigering validering i HTTP klassen
- Forkert håndtering af metaværdierdonnées post i XML-RPC API
- Manglende kapacitetsverifikation for meta-données senere i XML-RPC API
- CRSF-sårbarhed (Cross Site Request Forgery) opdages i dialogboksen med filsystemoplysninger
- En sårbarhed på tværs af site scripting (XSS) blev opdaget, når man forsøgte at downloade meget store filer
- En scripting-sårbarhed (XSS) mellem websteder er blevet opdaget i forbindelse med "Customizer"
Flere af sårbarhedsrapporterne kommer fra sikkerhedsforskere på "HackerOne". I et nylig interview med HackerOne sagde WordPress-sikkerhedsleder Aaron Campbell, at holdet har set en stigning i rapporteringen siden den offentlige lancering af dets bug-bounty-program.
« Stigningen i rapportvolumen var drastisk som forventet, men vores team behøvede virkelig ikke at håndtere ugyldige rapporter, før programmet blev offentliggjort." , sagde Campbell. " Dynamikken i Hacker Reputation-systemet kom virkelig i spil for første gang, og det var virkelig interessant at forstå, hvordan man fungerer bedst ”.
Hvis WordPress fortsætter med at opretholde den samme rapporteringsvolumen på sin nye HackerOne-konto, kan brugerne muligvis se hyppigere sikkerhedsudgivelser i fremtiden.
WordPress 4.7.5 inkluderer også en håndfuld vedligeholdelsesrettelser. Se den komplette liste over ændringer for at få flere oplysninger.
