Безопасность в глобальной сети Интернет

Исправлено 7 уязвимостей в WordPress 5.0.1

Ранее в этом месяце официально WordPress выпустили WP версии 5.0 с различными обновлениями, которые принесли множество функций и изменений. Однако, это также привело к проблемам обратной совместимости. Кроме того, более ранние версии WordPress также имели различные ошибки безопасности, которые требовали исправления. Поэтому недавно выкатили WordPress 5.0.1 для устранения ряда уязвимостей безопасности WordPress, которые затрагивают почти все предыдущие версии до версии 3.7.

7 уязвимостей, которые были исправлены в WordPress 5.0.1

После всех обновлений функционала WordPress 5.0 разработчики взялись устранять уязвимости CMS, которые касались безопасности На этой неделе они выпустили WordPress 5.0.1 с исправлениями безопасности для семи различных уязвимостей.

Как упомянуто в отчете безопасности WordPress 5.0.1, последняя версия устраняет недостатки, о которых сообщалось в частном порядке. Вкратце о исправленных уязвимостях.

Уязвимость аутентификации

Два исследователя из RIPS Tech сообщили о двух разных недостатках безопасности в WordPress, которые касаются проблем аутентификации. Одна из этих уязвимостей, обнаруженная Саймоном Сканнеллом, может позволить создавать несанкционированные типы записей. Как указано в выпуске безопасности WP,

«Саймон Сканнелл из RIPS Technologies обнаружил, что авторы могут создавать посты несанкционированных типов с собственным вводом данных».

Другая уязвимость, о которой сообщил Карим Эль Уэргемми, может позволить неавторизованным пользователям удалить файлы, изменив метаданные.

Внедрение PHP-объектов

В Black Hat USA 2018 Сэм Томас из Secarma выделил уязвимость несериализации PHP, которая делала сайты на CMS WordPress уязвимыми для полного взлома системы. Чтобы воспользоваться этой уязвимостью, хакер может просто инициировать десериализацию вредоносного объекта.

Cross-Site Scripting (XSS) уязвимости

Исследователь Тим Коэн обнаружил три различные уязвимости межсайтового скриптинга(XSS). Одна из них, совместно с Slavco Mihajloski, может привести к обходу проверки MIME путем загрузки специально созданных файлов на сайты, размещенные на сервереApache.

Две другие уязвимости XSS, приписываемые исключительно Коэну, могут позволить хакеру воздействовать на некоторые плагины и редактировать новые комментарии.

Уязвимость плагина Yoast SEO

Как поясняется в отчете безопасности, уязвимость Yoast может привести к раскрытию адресов электронной почты и паролей.

«Команда Yoast обнаружила, что экран активации пользователя может индексироваться поисковыми системами в некоторых конфигурациях, что приводит к раскрытию адресов электронной почты, а в некоторых редких случаях – сгенерированных по умолчанию паролей».

Но хочется сказать, что данную уязвимость не стоит путать с (CVE-2018-19370), которая была недавно исправлена в Yoast SEO 9.2.

Скорее обновляйте WordPress до версии 5.0.1

Чтобы не быть подверженным этим 7 уязвимостям, которые описаны выше, необходимо убедиться, что версия CMS WordPress обновлена и это минимум WP 5.0.1, так как на данный момент уже доступна версия 5.0.2.

Admin

Программист, SEO специалист, GEEK, увлекаюсь новостями из мира IT и безопасностью программного обеспечения.

Один комментарий

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Back to top button
Close
101 запросов. 0,559 секунд.