WordPress 5.2.4: обновление безопасности

Вышла версия WordPress 5.2.4. Это обновление устраняет 6 проблем безопасности.

Версии WordPress 5.2.3 и более ранние подвержены этим ошибкам, которые исправлены в версии 5.2.4. Обновленные версии WordPress 5.1 и более ранние также доступны для всех пользователей, которые еще не обновили до 5.2.

Найденные уязвимости

  • Эван Рикафорт нашел проблему, при которой сохраненный XSS (межсайтовый скриптинг) может быть добавлен через Кастомайзер.
  • Дж. Д. Граймс нашел и раскрыл способ просмотра сообщений неавторизованными пользователями.
  • Уэстону Рутер нашел возможность создания сохраняемого XSS-кода для внедрения javascript в теги стилей.
  • Дэвид Ньюман выделить метод, чтобы отравить кеш запросов JSON GET через Vary: Origin header.
  • Евгений Колоденкер обнаружил возможность подделки запроса на стороне сервера при проверке URL.
  • Бен Биднер из команды безопасности WordPress обнаружил проблемы, связанные с проверкой реферера у администратора.

Для получения дополнительной информации просмотрите полный список изменений на Trac или посетите страницу документации по версии 5.2.4.

WordPress 5.2.4 — это релиз безопасности с коротким циклом. Следующим основным выпуском будет версия 5.3.

Вы можете скачать WordPress 5.2.4 или перейти на панель инструментов → Обновления и нажать Обновить сейчас. Сайты, которые поддерживают автоматические фоновые обновления, уже начали обновляться автоматически.