Релизы безопасности WordPress 4.1.2 и 4.1.3

Несколько часов назад команда WordPress выпустила критическое обновление ядра. В версии 4.1.2 устранена уязвимость XSS, позволяющая злоумышленнику получить доступ к сайту на WordPress.

Данное обновление является обязательным для всех пользователей WordPress. Разработчики также подготовили релизы для предыдущих веток ядра, которые поддерживают фоновые обновления: 3.7.6, 3.8.6, 3.9.4, и 4.0.2. Это говорит о том, что данная XSS уязвимость является более чем серьезной.

WordPress 4.1.2

WordPress 4.1.2

Помимо XSS уязвимости в версию 4.1.2 вошли также несколько менее критических обновлений, связанных с SQL инъекцией в некоторых плагинах, с возможностью загружать файлы с небезопасным наименованием, и с XSS атакой методом социального инжиниринга.

На многих WordPress сайтах уже сработало автоматическое фоновые обновления ядра, и администраторы уже получили соответствующие уведомления. Если ваш сайт по какой-либо причине еще не обновился до последней версии соответствующей ветки WordPress, рекомендуем немедленно выполнить обновление вручную в разделе Консоль → Обновления.

Список всех изменений в версии 4.1.2 вы (а также злоумышленники) можете найти в баг-трэкере WordPress.

Обновление: Вышло обновление ядра 4.1.3, закрывающее проблему с кодировкой cp1251 таблиц БД. Проблема появилась в 4.1.2. Актуально для русскоговорящих пользователей. #

Павел Федоров

Создатель этого сайта и многих других (на WordPress, конечно же). Любит WordPress и делает на нем всякие сумасшедшие сложные штуки, которые никто в здравом уме делать не станет. Умеет работать на фрилансе, в офисе, без офиса, без оглядки и без сна. Один из немногих участников программы FSA/FLEX, кого выдворили из Америки за плохое поведение. С тех пор умеет слушать. Обожает Star Wars, Ведьмака, горные лыжи, байдарку, пешие прогулки, спонтанные путешествия и хорошую компанию. Больше не боится vim.

Добавить комментарий

%d такие блоггеры, как: