WordPress объявил, что публикует выпуск обслуживания и безопасности, который исправляет множество уязвимостей, в том числе одну, которая может привести к полному захвату сайта.

Выпуск для обслуживания и безопасности WordPress 6.3.2

WordPress 6.3.2 содержит 41 исправление ошибок, но, что более важно, он поставляется с исправлениями для восьми уязвимостей.

Недавно были обнаружены и исправлены следующие восемь уязвимостей:

  • Уязвимость в ядре WordPress, позволяющая выполнять произвольный шорткод.
  • Потенциальное раскрытие адресов электронной почты пользователей неаутентифицированными хакерами с использованием
  • Уязвимость POP Chains для удаленного выполнения кода
  • Уязвимость межсайтового скриптинга (XSS) в блоке навигации по ссылкам сообщений
  • Утечка видимости комментариев к частным сообщениям
  • Отражена уязвимость межсайтового скриптинга (XSS) на экране паролей приложений.
  • Уязвимость межсайтового скриптинга (XSS) в блоке сносок
  • Уязвимость типа «отравление кэша» (DoS)

Некоторые из уязвимостей связаны с недостаточной очисткой входных данных, что означает, что отправляемые данные не отфильтровывают вредоносные входные данные.

Официальная страница разработчиков WordPress для очистки ввода сообщает:

«Ненадежные данные поступают из многих источников (пользователи, сторонние сайты и даже ваша собственная база данных!), и все их необходимо проверять перед использованием.

Очистка входных данных — это процесс защиты/очистки/фильтрации входных данных.

Валидация предпочтительнее санитарной обработки, поскольку валидация более специфична.

Но когда «более конкретное» невозможно, лучшим решением будет санитарная обработка».

Всем уязвимостям присвоен средний уровень серьезности, включая исправления для пяти проблем средней серьезности.

Информационное сообщение о текущей версии безопасности опубликовано Wordfence отмечает, что по крайней мере одна из уязвимостей содержала потенциал полного захвата сайта.

WordPress советует всем пользователям убедиться, что их установки WordPress обновлены до самой последней версии — WordPress версии 6.3.2.

Согласно официальному объявлению WordPress:

«Поскольку это версия безопасности, рекомендуется немедленно обновить свои сайты.

Резервные порты также доступны для других основных выпусков WordPress, 4.1 и более поздних версий».

Прочтите официальное объявление о выпуске безопасности WordPress:

ЧИТАТЬ  РКН хочет ввести уголовную ответственность за покупку и продажу баз данных

WordPress 6.3.2 — выпуск обслуживания и безопасности

Рекомендованное изображение: Shutterstock/Light_Lenser



Source link