Сегодня утром мы сообщили об уязвимости XSS в WordPress 4.2 , 4.1.2, 4.1.1 и 3.9.3, которая позволяет злоумышленнику скомпрометировать сайт через его комментарии. Команда безопасности быстро исправила уязвимость и выпустила версию 4.2.1 в течение нескольких часов после получения уведомления.
Официальное заявление WordPress по вопросу безопасности:
Команда WordPress была проинформирована о проблеме XSS несколько часов назад, и вскоре мы выпустим обновление. Это основная проблема, но количество уязвимых сайтов намного меньше, чем вы думаете, потому что подавляющее большинство сайтов на базе WordPress используют Akismet, который блокирует эту атаку. Когда исправление будет протестировано и готово в ближайшие часы, пользователи WordPress получат автоматическое обновление и должны быть в безопасности и защищены, даже если они не используют Akismet.
Это автоматическое обновление теперь распространяется на сайты, где обновления не были отключены. Если вы не уверены, может ли ваш сайт выполнять автоматические фоновые обновления, Гэри Пендергаст связался с плагином Background Update Tester в выпуске безопасности. Это поддерживаемый ядром плагин, который проверит ваш сайт на совместимость с фоновыми обновлениями и объяснит любые проблемы.
Поскольку Akismet активен на более чем миллионе веб-сайтов, количество незащищенных пользователей, затронутых атакой, намного меньше, чем могло бы быть в противном случае.
WordPress 4.2.1 — критический выпуск безопасности для широко разрекламированной уязвимости, которую вы не хотите игнорировать. Пользователям рекомендуется немедленно обновиться. Возможно, фоновое обновление уже попало на ваш сайт. Если нет, вы можете обновить вручную, перейдя в Панель инструментов → Обновления.
