Основная команда WordPress выпустила версию 5.2.4 WordPress 14 октября. Релиз решает шесть проблем безопасности, о которых сообщалось в частном порядке в рамках процедуры ответственного раскрытия информации WordPress .
Как и любой другой выпуск безопасности, пользователи должны немедленно обновиться до последней версии, чтобы обеспечить безопасность своих сайтов.
Для тех, у кого включены автоматические обновления, новая версия уже распространяется на сайтах. Все основные ветки WordPress с версии 3.7 до 5.2 получили новые исправления безопасности. Если автоматические обновления не включены, пользователи должны обновляться с экрана «Обновления» в разделе «Панель управления» в админке WordPress. В противном случае пользователи могут загрузить WordPress из архива выпуска и вручную запустить обновление, чтобы убедиться, что их сайт не подвергается риску того, что сейчас является широко известными уязвимостями.
В объявлении о выпуске были отмечены следующие проблемы безопасности. Они были исправлены во всех обновленных версиях.
- Сохраненные межсайтовые сценарии (XSS) могут быть добавлены с экрана настройщика.
- Проблема, которая позволяла сохраненному XSS вставлять JavaScript в
<style>теги. - Ошибка, которая позволяла просматривать неаутентифицированные сообщения.
- Метод использования
Vary: Originзаголовка для заражения кешаGETзапросов JSON (REST API). - Подделка запроса на стороне сервера (SSRF) с указанием того, как проверяются URL-адреса.
- Проблемы с проверкой реферера в админке WordPress.
Для разработчиков, которые хотят больше узнать об изменениях кода, набор изменений доступен на GitHub . Большинство изменений не должны влиять на плагины или темы. Однако стоит отметить, что staticв этом выпуске свойство запроса было удалено. Это удаление влияет как WPи WP_Queryклассы. Разработчики должны протестировать свои плагины на этой версии, чтобы убедиться, что ничего не сломано, если их проекты полагаются на это свойство. Маловероятно, что многие плагины полагаются на эту переменную запроса.
WordPress 5.2.4 также включает несколько других исправлений ошибок. Один удаляет строку кода, которая делает дополнительный вызов wp-sanitize.jsсценария в загрузчике сценариев. Второе исправление устраняет проблему, из-за которой путь к каталогу не был нормализован в системах Windows, что привело к wp_validate_redirect()удалению домена функцией. Это исправляет ошибку, созданную в WordPress 5.2.3.
