Команда разработчиков WordPress выпустила релиз 5.2.4. Новая версия решает 6 проблем безопасности, которые были приватно раскрыты в рамках процедуры ответственного разглашения уязвимостей и багов в WordPress.
Как и в случае с любым другим релизом безопасности, пользователи должны немедленно обновиться до новой версии.
Если у вас на сайте включены автоматические обновления, новая версия уже будет развернута. Обновление безопасности поступило для всех веток WordPress, начиная с 3.7 и заканчивая 5.2. Чтобы включить автообновления, пользователям необходимо перейти в раздел Updates в Консоли. Также пользователи могут скачать релиз WordPress из архивов и вручную запустить обновление.
В анонсе к релизу были отмечены следующие исправленные проблемы безопасности:
- Хранимые XSS-атаки посредством скриптов, добавляемых через экран кастомайзера.
- Хранимые XSS-атаки, позволяющие встраивать JavaScript в теги style
- Баг, позволяющий просматривать сообщения без аутентификации
- Метод использования заголовка Vary: Origin для заражения кэша JSON GET-запросов (REST API).
- SSRF-атаки, связанные с валидацией URL
- Проблемы с валидацией рефереров в админке WP.
Разработчики, которые хотят изучить все изменения кода, могут обратиться к GitHub. Большинство изменений не должны затрагивать плагины и темы. В релизе было удалено свойство запросов static. Такое удаление влияет на классы WP и WP_Query. Разработчики должны протестировать свои плагины в данной версии, чтобы убедиться, что ничего не сломалось (если в их проектах применялось это свойство). Маловероятно, что многие плагины полагались на эту переменную запроса.
WordPress 5.2.4 также включает в себя несколько других багфиксов. Один из них связан с удалением строки кода, которая делала дополнительный вызов скрипта wp-sanitize.js в загрузчике скриптов. Второй фикс устраняет проблему, из-за которой не происходило нормализации пути к директории в Windows-системах, что вело к удалению домена функцией wp_validate_redirect().
Источник: wptavern.com