Вышла версия 4.2.3 популярной бесплатной CMS WordPress, и всем пользователям настоятельно рекомендуется обновиться, так как в общей сложности разработчики закрыли 20 различных недочетов, включая критический XSS баг.

Официальный блог WordPress сообщил о выходе новой версии CMS, а так же о закрытии критической (слово «critical» впоследствии почему-то пропало из официального поста) XSS уязвимости, которая работала в версиях 4.2.2 и более ранних. Баг позволял пользователям с правами Contributor или Autor полностью скомпрометировать сайт. Хотя уязвимость невозможно применить без авторизации, атакующим достаточно было получить доступ к аккаунту одного пользователя (не администратора), что уже достаточно скверно.

Сообщается, что уязвимость обнаружила собственная команда безопасности WordPress, хотя позднее о баге написал и финский исследователь Йоко Пайнненен (Jouko Pynnönen).

Помимо XSS-бага, в новой версии движка устранены низкоуровневая уязвимость, позволявшая пользователям с правами подписчика (Subscriber) создавать черновики записей, через инструмент Quick Draft, а также порядка 20 багов не связанных с безопасностью.

Фото: stickergiant@flickr 



2 комментария

  1. kakge

    24.07.2015 at 16:30

    Эпплинсайдер не обновляется с 3-й версии никак. Ничего не боится?

  2. Galamoon

    24.07.2015 at 20:33

    20 закрыли 40 добавили. С начала года уже сбился со счета, сколько статей было выпущено о «critical» зависимостях WP.
    У них это что пиар такой «черный». Drupal, Joomla и прочие не менее дырявые системы тихо закрыли и скупо отписались «В версии х.х.х улучшена производительность и стабильность». А лидер Bitrix, эти вообще молчат о своих дырках и даже если предъявишь будут все отрицать.

Оставить мнение