Обновление WordPress 4.3.1 устраняет ряд XSS-уязвимостей

Обновление WordPress 4.3.1 устраняет ряд XSS-уязвимостей

Наиболее опасные из исправленных брешей связаны со специфической функцией Shortcode.

Разработчики WordPress выпустили обновление (4.3.1) популярной платформы, в котором исправлены две  уязвимости  межсайтового скриптинга и брешь, позволяющая повышение привилегий. Версия WordPress 4.3.1 также устраняет двадцать шесть ошибок.

Наиболее опасные из исправленных уязвимостей связаны со специфической функцией Shortcode. Шорткоды - это набор простейших функций, создающих микро-коды, которые можно использовать в стандартном редакторе WordPress, в виджетах и в файлах шаблона для различных целей. Платформа по умолчанию поддерживает ряд коротких кодов, что позволяет автоматически внедрить видеофайл в сайт WordPress.

Бреши были обнаружены специалистами компании Check Point Шахаром Талом (Shahar Tal) и Нетанелом Рубином (Netanel Rubin), которые сообщили о них разработчикам платформы еще несколько месяцев назад. Эксплуатация одной из уязвимостей межсайтового скриптинга позволяет злоумышленнику использовать процесс обработки коротких кодов для внедрения произвольного кода JavaScript, который выполняется при отображении страницы WordPress.

Еще одна уязвимость позволяет пользователям без надлежащих разрешений публиковать сообщения и делать их «липкими». Наконец, эксплуатация третьей бреши позволяет повышение привилегий, благодаря чему любой пользователь может восстанавливать и редактировать перемещенные в корзину сообщения.

Разработчики WordPress настоятельно рекомендуют пользователям обновить устаревшие версии платформы.

Наш контент расширяется быстрее Вселенной!

Большой взрыв знаний каждый день в вашем телефоне

Подпишитесь, пока мы не вышли за горизонт событий