Обновление WordPress 4.3.1 устраняет ряд XSS-уязвимостей

Разработчики WordPress выпустили обновление (4.3.1) популярной платформы, в котором исправлены две  уязвимости  межсайтового скриптинга и брешь, позволяющая повышение привилегий. Версия WordPress 4.3.1 также устраняет двадцать шесть ошибок.

Наиболее опасные из исправленных уязвимостей связаны со специфической функцией Shortcode. Шорткоды - это набор простейших функций, создающих микро-коды, которые можно использовать в стандартном редакторе WordPress, в виджетах и в файлах шаблона для различных целей. Платформа по умолчанию поддерживает ряд коротких кодов, что позволяет автоматически внедрить видеофайл в сайт WordPress.

Бреши были обнаружены специалистами компании Check Point Шахаром Талом (Shahar Tal) и Нетанелом Рубином (Netanel Rubin), которые сообщили о них разработчикам платформы еще несколько месяцев назад. Эксплуатация одной из уязвимостей межсайтового скриптинга позволяет злоумышленнику использовать процесс обработки коротких кодов для внедрения произвольного кода JavaScript, который выполняется при отображении страницы WordPress.

Еще одна уязвимость позволяет пользователям без надлежащих разрешений публиковать сообщения и делать их «липкими». Наконец, эксплуатация третьей бреши позволяет повышение привилегий, благодаря чему любой пользователь может восстанавливать и редактировать перемещенные в корзину сообщения.

Разработчики WordPress настоятельно рекомендуют пользователям обновить устаревшие версии платформы.