Уязвимости патч в 4.7.5 были ответственно раскрыты WordPress безопасности команды пять различных сторон, зачисленных в релизе пост. К ним относятся следующие:
- Недостаточное перенаправление проверки в классе HTTP
- Неправильная обработка значений данных после мета в API XML-RPC
- Отсутствие проверки возможностей для данных после мета в API XML-RPC
- Уязвимость Кросс-запроса (CRSF) была обнаружена в диалоге учетных данных файловой системы
- При попытке загрузить очень большие файлы была обнаружена уязвимость по сценариям кросс-сайта (XSS)
- Обнаружена уязвимость кросс-сайт-сценарного сценария (XSS), связанная с настраивателем
Некоторые сообщения об уязвимости поступили от исследователей безопасности на HackerOne. В недавнем интервью с HackerOne, WordPress безопасности команды ведущий Аарон Кэмпбелл сказал, что команда была всплеск в докладах с момента публичного запуска своей программы баунти ошибка.
«Увеличение объема докладов было резким, как ожидалось, но и наша команда действительно не пришлось обрабатывать какие-либо недействительные доклады до перемещения программы общественности», сказал Кэмпбелл. «Динамика хакерской репутации системы действительно вступил в игру в первый раз, и это было действительно интересно выяснить, как лучше работать в нем».
Если WordPress продолжает поддерживать тот же объем отчетов о своей новой учетной записи HackerOne, пользователи могут увидеть более частые релизы безопасности в будущем.
WordPress 4.7.5 также включает в себя несколько исправлений обслуживания. Ознакомьтесь с полным списком изменений для получения более подробной информации.
Оригинал: wptavern.com
