Команда WordPress выпустила свежую версию WordPress 4.5.2, которая исправляет две уязвимости безопасности в версиях WordPress 4.5.1 и ниже. Первая уязвимость – SOME (Same-Origin Method Execution) в Plupload, сторонней библиотеке, которая используется в WordPress для загрузки файлов. Вторая уязвимость – это XSS-уязвимость в MediaElement.js, сторонней библиотеке, используемой для медиаплееров.

Same Origin Method Execution – новая атака, основанная на использовании callback-параметра JSONP, позволяющая выполнять произвольные методы на уязвимом сайте. Как только жертва переходит по ссылке злоумышленника, открывается новое окно или фрейм, в котором выполняется вредоносный код. Жертва обычно даже не понимает, что произошло. Выполнение конкретных методов Same Origin Method Execution зависит от атакуемого сайта. Чтобы защититься от подобной атаки, можно: использовать статичные имена функций для callback; внести callback’и в белый список на стороне сервера; зарегистрировать callback’и.

Автоматические обновления уже были выгружены на сайтах. Если вы не хотите ждать, вы можете обновиться вручную через панель администратора. В дополнение к релизу команда WordPress также опубликовала пост, посвященный многочисленным уязвимостям, найденным в ImageMagick, популярном скрипте обработки изображений, который используется многими хостингами. Пост описывает особенности уязвимостей, а также решения, которые помогают устранить их.