تم إصدار WordPress 4.7.5 اليوم مع إصلاحات لستة مشكلات أمنية. إذا كنت تدير مواقع متعددة ، فربما تكون قد رأيت إشعارات التحديث التلقائي تصل إلى عناوين بريدك الإلكتروني. إصدار الأمان مخصص لجميع الإصدارات السابقة ويوصي WordPress بتحديث فوري. المواقع التي تحتوي على إصدارات أقل من 3,7 ، ستحتاج إلى التحديث يدويًا.
تم الكشف عن الثغرات الأمنية التي تم إصلاحها في الإصدار 4.7.5 بشكل مسؤول لفريق أمان WordPress بواسطة خمسة فرق مختلفة تم اعتمادها في المنشور. وتشمل هذه ما يلي:
- عدم كفاية التحقق من صحة التوجيه في فئة HTTP
- معالجة غير صحيحة لقيم التعريفDONNEES النشر في XML-RPC API
- عدم القدرة على التحقق من البيانات الوصفيةDONNEES لاحقًا في واجهة برمجة تطبيقات XML-RPC
- تم اكتشاف ثغرة أمنية عبر طلب التزوير عبر الموقع (CRSF) في مربع حوار بيانات اعتماد نظام الملفات
- تم اكتشاف ثغرة نصية عبر المواقع (XSS) عند محاولة تنزيل ملفات كبيرة جدًا
- تم اكتشاف ثغرة في البرمجة النصية (XSS) بين المواقع فيما يتعلق بـ "أداة التخصيص"
تأتي العديد من تقارير الثغرات الأمنية من باحثين أمنيين في "HackerOne". في مقابلة حديثة مع HackerOne ، قال قائد فريق أمان WordPress آرون كامبل إن الفريق شهد زيادة في الإبلاغ منذ الإطلاق العام لبرنامج مكافآت الأخطاء.
« كانت الزيادة في حجم التقرير كبيرة كما هو متوقع ، لكن فريقنا لم يكن مضطرًا للتعامل مع أي تقارير غير صالحة قبل نشر البرنامج علنًا." ، أعلن كامبل. " ظهرت ديناميكيات نظام Hacker سمعة حيز التنفيذ حقًا للمرة الأولى ، وكان من المثير حقًا فهم كيفية العمل بشكل أفضل ".
إذا استمر WordPress في الحفاظ على حجم التقارير نفسه على حساب HackerOne الجديد ، فقد يرى المستخدمون المزيد من إصدارات الأمان المتكررة في المستقبل.
يتضمن WordPress 4.7.5 أيضًا حفنة من إصلاحات الصيانة. انظر قائمة كاملة من التغييرات لمزيد من التفاصيل.