WordPress 4.7.5 wurde heute mit Korrekturen für sechs Sicherheitsprobleme veröffentlicht. Wenn Sie mehrere Websites verwalten, werden möglicherweise automatische Update-Benachrichtigungen auf Ihren E-Mail-Adressen angezeigt. Die Sicherheitsversion gilt für alle früheren Versionen und WordPress empfiehlt ein sofortiges Update. Bei Websites mit Versionen unter 3,7 müssen Sie ein manuelles Update durchführen.
Die in Version 4.7.5 korrigierten Sicherheitslücken wurden dem WordPress-Sicherheitsteam von fünf verschiedenen Teams, die in der Veröffentlichung gutgeschrieben wurden, verantwortungsbewusst mitgeteilt. Dazu gehören die folgenden:
- Unzureichende Umleitungsvalidierung in HTTP-Klasse
- Unsachgemäßer Umgang mit MetawertenDaten Post in der XML-RPC-API
- Fehlender Fähigkeitsnachweis für Meta-Daten später in der XML-RPC-API
- CRSF-Sicherheitsanfälligkeit (Cross Site Request Forgery) im Dialogfeld "Anmeldeinformationen für Dateisysteme" entdeckt
- Beim Versuch, sehr große Dateien herunterzuladen, wurde eine Cross-Site Scripting-Sicherheitsanfälligkeit (XSS) entdeckt
- In Bezug auf den "Customizer" wurde eine Scripting-Sicherheitsanfälligkeit (XSS) zwischen Websites entdeckt.
Einige der Schwachstellenberichte stammen von Sicherheitsforschern auf "HackerOne". In einem kürzlichen Interview mit HackerOne sagte Aaron Campbell, Leiter des WordPress-Sicherheitsteams, dass das Team seit dem öffentlichen Start seines Bug-Bounty-Programms eine Zunahme der Berichterstattung verzeichnet hat.
« Der Anstieg des Berichtsvolumens war wie erwartet drastisch, aber unser Team musste sich wirklich nicht mit ungültigen Berichten befassen, bevor das Programm veröffentlicht wurde." , sagte Campbell. " Die Dynamik des Hacker-Reputationssystems kam zum ersten Mal wirklich ins Spiel, und es war wirklich interessant zu verstehen, wie man am besten funktioniert. “.
Wenn WordPress weiterhin das gleiche Berichtsvolumen für sein neues HackerOne-Konto beibehält, werden Benutzer möglicherweise in Zukunft häufiger Sicherheitsversionen sehen.
WordPress 4.7.5 enthält auch eine Handvoll Wartungskorrekturen. Weitere Details finden Sie in der vollständigen Liste der Änderungen.
