Вчера вечером был выпущен WordPress 5.1.1 с важным обновлением безопасности для критической уязвимости межсайтового скриптинга, обнаруженной в 5.1 и предыдущих версиях. В публикации говорится, что Саймон Сканнелл из RIPS Technologies обнаружил уязвимость и сообщил о ней. Сканнелл опубликовал сообщение, в котором резюмируется, как неаутентифицированный злоумышленник может захватить любой сайт WordPress, на котором включены комментарии:
Злоумышленник может захватить любой сайт WordPress, на котором есть комментарии, обманом заставив администратора целевого блога посетить веб-сайт, созданный злоумышленником. Как только администратор жертвы посещает вредоносный веб-сайт, против целевого блога WordPress запускается эксплойт подделки межсайтовых запросов (CSRF) в фоновом режиме, незаметно для жертвы. Эксплойт CSRF злоупотребляет многочисленными логическими ошибками и ошибками очистки, которые в совокупности приводят к удаленному выполнению кода и полному захвату сайта.
Поскольку WordPress поставляется с включенными по умолчанию комментариями, злоумышленник может воспользоваться этой уязвимостью на любом сайте с настройками по умолчанию. Автообновления вышли вчера, но администраторам, у которых отключены фоновые обновления, рекомендуется выполнить обновление немедленно.
Техническая версия также включает возможность для хостов предлагать кнопку, предлагающую своим пользователям обновить PHP перед запланированным повышением минимальной версии PHP в 5.2 . Уведомление «Обновить PHP» можно отфильтровать, чтобы изменить рекомендуемую версию.
Ожидается, что через две недели выйдет версия 5.1.2 .
