WordPress 5.1.1 Патчи Критическая уязвимость

WordPress 5.1.1 был выпущен вчера вечером с важным обновлением безопасности для критической уязвимости сценария кросс-сайта, найденной в 5.1 и предыдущих версиях. Сообщение о выпуске приписывают Саймон Скэннелл из RIPS Technologies для обнаружения и отчетности уязвимости. Scannell опубликовал пост подытоживая, как непроверенный злоумышленник может взять на себя любой WordPress сайт, который имеет комментарии включен:

Злоумышленник может захватить любой сайт WordPress, который имеет комментарии, включенные путем обмана администратора целевого блога, чтобы посетить веб-сайт, созданный злоумышленником. Как только жертва администратор посещает вредоносный веб-сайт, кросс-сайт запрос подделки (CSRF) эксплойт работает против целевой Блог WordPress в фоновом режиме, без жертвы замечая. CSRF использует злоупотребления несколькими логическими недостатками и ошибками дезинфекции, которые в сочетании приводят к удаленному исполнению кода и полному захвату сайта.

Так как WordPress поставляется с комментариями, включенными по умолчанию, злоумышленник может использовать эту уязвимость на любом сайте с настройками по умолчанию. Авто-обновления вышли вчера, но администраторы, которые имеют фоновые обновления отключены рекомендуется обновить немедленно.

Обслуживание релиз также включает в себя возможность для хостов, чтобы предложить кнопку, чтобы побудить своих пользователей обновить PHP впереди WordPress ‘планируется минимальная версия PHP Удар в 5.2. Уведомление “Обновление PHP” может быть отфильтровано, чтобы изменить рекомендуемую версию.

Ожидается, что версия 5.1.2 будет следовать через две недели.

Хотите написать для WP таверне? Мы всегда принимаем гостевые сообщения от сообщества и ищем новых участников. Свяжитесь с нами и давайте обсудим ваши идеи.

 

Оригинал: wptavern.com

Добавить комментарий

%d такие блоггеры, как: