Вышел WordPress 5.2.4 с исправлением нескольких ошибок безопасности

Команда разработчиков WordPress выпустила релиз 5.2.4. Новая версия решает 6 проблем безопасности, которые были приватно раскрыты в рамках процедуры ответственного разглашения уязвимостей и багов в WordPress.

Как и в случае с любым другим релизом безопасности, пользователи должны немедленно обновиться до новой версии.

Если у вас на сайте включены автоматические обновления, новая версия уже будет развернута. Обновление безопасности поступило для всех веток WordPress, начиная с 3.7 и заканчивая 5.2. Чтобы включить автообновления, пользователям необходимо перейти в раздел Updates в Консоли. Также пользователи могут скачать релиз WordPress из архивов и вручную запустить обновление.

В анонсе к релизу были отмечены следующие исправленные проблемы безопасности:

  • Хранимые XSS-атаки посредством скриптов, добавляемых через экран кастомайзера.
  • Хранимые XSS-атаки, позволяющие встраивать JavaScript в теги style
  • Баг, позволяющий просматривать сообщения без аутентификации
  • Метод использования заголовка Vary: Origin для заражения кэша JSON GET-запросов (REST API).
  • SSRF-атаки, связанные с валидацией URL
  • Проблемы с валидацией рефереров в админке WP.

Разработчики, которые хотят изучить все изменения кода, могут обратиться к GitHub. Большинство изменений не должны затрагивать плагины и темы. В релизе было удалено свойство запросов static. Такое удаление влияет на классы WP и WP_Query. Разработчики должны протестировать свои плагины в данной версии, чтобы убедиться, что ничего не сломалось (если в их проектах применялось это свойство). Маловероятно, что многие плагины полагались на эту переменную запроса.

WordPress 5.2.4 также включает в себя несколько других багфиксов. Один из них связан с удалением строки кода, которая делала дополнительный вызов скрипта wp-sanitize.js в загрузчике скриптов. Второй фикс устраняет проблему, из-за которой не происходило нормализации пути к директории в Windows-системах, что вело к удалению домена функцией wp_validate_redirect().

Источник: wptavern.com

ПОСМОТРИТЕ ТАКЖЕ:
В предстоящем релизе WordPress 5.3 появится новый экран email-верификации для администраторов. Он будет появляться каждые
Спустя год с начала своей разработки улучшенный компонент Date/Time наконец-то появится в WordPress. Версия WordPress
3 октября SVN-система WordPress.org была повышена до версии 7.2. Это означает, что авторы плагинов теперь
Разработчики WordPress на днях выпустили релиз WordPress 5.3 бета 1. Главная особенность новой беты –
В прошлом месяце вышел релиз Font Awesome 5.9, в котором появилась 421 новая и обновленная
За годы своего существования панель администратора WordPress становилась все более перегруженной разными уведомлениями. Некоторые из

Добавить комментарий