Wczoraj w moim „systemie aktualizacji WordPressów” pojawiła się informacja o nowej aktualizacji (4.7.3), z informacją, że „naprawiono kilka błędów, w tym błędów zabezpieczeń”. Po zapoznaniu się z załatanymi błędami zabezpieczeń (podatnościami) zdecydowanie zalecą pilną aktualizację, nawet jeśli większość z nich wymaga „kreta” wśród zarejestrowanych użytkowników naszej strony, i to z odpowiednimi uprawnieniami.

WordPress 4.7.3

Według informacji na stronie WordPress.org wersja 4.7.3 łata 6 błędów bezpieczeństwa:

  • Cross-site scripting (XSS) via media file metadata
  • Control characters can trick redirect URL validation
  • Unintended files can be deleted by administrators using the plugin deletion functionality
  • Cross-site scripting (XSS) via video URL in YouTube embeds
  • Cross-site scripting (XSS) via taxonomy term names
  • Cross-site request forgery (CSRF) in Press This leading to excessive use of server resources

Wprawdzie większość załatanych błędów wymaga akcji (wgranie odpowiednio spreparowanego pliku audio lub wideo, użycie na stronie odpowiednio spreparowanego adresu URL do filmu na YouTube), to jednak zalecam jak najszybszą aktualizację (choć w przypadku tego typu aktualizacji jest duża szansa, że zostaną one zainstalowane na Waszej stronie automatycznie).

Kilka szczegółowych informacji dotyczących niektórych załatanych podatności:

(!) Zgłoś błąd na stronie