Первые заплатки для WordPress 5.0

16 декабря 2018 г., воскресенье

Через неделю после выпуска новой версии CMS разработчики исправили в ней ряд ошибок, найденных сторонними специалистами.

Первое обновление безопасности для новой версии WordPress, получившей название Bebo, увидело свет через неделю после выхода основного релиза. В апдейте 5.0.1 исправлен ряд ошибок, обнаруженных сторонними ИБ-специалистами. Разработчики пропатчили уязвимости межсайтового скриптинга, обход MIME-верификации и несанкционированного доступа к данным. Обновления также доступны пользователям предыдущих версий CMS.

Как сообщают создатели платформы, в сборке 5.0.1 они исправили баг, в результате которого страница авторизации некоторых сайтов на WordPress индексировалась поисковыми системами. Это могло привести к раскрытию информации об адресе электронной почты, а в некоторых случаях — и о паролях, сгенерированных для первого входа в систему.

О трех уязвимостях, связанных с возможностью межсайтового скриптинга, сообщил разработчикам ИБ-специалист Тим Коэн (Tim Coen). В одном из случаев он обнаружил отсутствие идентификации типа содержимого, загружаемого по протоколу MIME. Это означало, что киберпреступник мог добавить в базу данных CMS исполняемый файл под видом документа или рисунка, просто сменив его расширение. Проблема грозила выполнением стороннего кода, но касалась только сайтов, размещенных на хостинге под управлением серверов Apache.

Два других бага, найденных Коэном, оказались не столь опасны. Первый позволяет пользователю с правами подписчика редактировать комментарии, оставленные авторами, модераторами и администраторами системы. В ряде случаев это может привести к внедрению в сообщение вредоносного скрипта со стороннего сайта. Вторая брешь допускает межсайтовый скриптинг через специальную ссылку, открытую в некоторых плагинах. Несмотря на то что проблема не затрагивает WordPress напрямую, разработчики приняли меры, чтобы исключить ее эксплуатацию.

Оставшиеся уязвимости, закрытые обновлением, давали пользователям с правами автора возможность несанкционированного удаления файлов, а также позволяли им создавать виды публикаций, не предусмотренные набором их привилегий. Кроме того, разработчики CMS пропатчили ошибку, допускавшую внедрение стороннего PHP-объекта через изменение метаданных системы.

Аналогичные заплатки доступны для WordPress версии 4.9 и более ранних релизов. Это стало возможным благодаря новой политике создателей движка, предусматривающей повышенное внимание к защите пользователей от кибератак. Этой же цели служит механизм автоматического обновления, впервые представленный в сборке 3.7, а также рейтинг плагинов, отражающий качество и безопасность их кода.

Threatpost