WordPress 4.7.5 เปิดตัวแล้ววันนี้พร้อมการแก้ไขปัญหาด้านความปลอดภัยหกประการ หากคุณจัดการหลายไซต์คุณอาจเห็นการแจ้งเตือนการอัปเดตอัตโนมัติปรากฏบนที่อยู่อีเมลของคุณ เวอร์ชันความปลอดภัยมีไว้สำหรับเวอร์ชันก่อนหน้าทั้งหมดและ WordPress แนะนำให้อัปเดตทันที เนื่องจากไซต์มีเวอร์ชันต่ำกว่า 3,7 คุณจึงต้องอัปเดตด้วยตนเอง
ช่องโหว่ที่แก้ไขในเวอร์ชัน 4.7.5 ได้รับการเปิดเผยอย่างมีความรับผิดชอบต่อทีมรักษาความปลอดภัยของ WordPress โดยทีมงานห้าทีมที่แตกต่างกันให้เครดิตในโพสต์ ซึ่งรวมถึงสิ่งต่อไปนี้:
- การตรวจสอบการเปลี่ยนเส้นทางไม่เพียงพอในระดับ HTTP
- การจัดการค่าเมตาที่ไม่เหมาะสมdonnées โพสต์ใน XML-RPC API
- ขาดการตรวจสอบความสามารถสำหรับ meta-données ต่อมาใน XML-RPC API
- ช่องโหว่การปลอมแปลงคำขอข้ามไซต์ (CRSF) ที่พบในกล่องโต้ตอบหนังสือรับรองระบบไฟล์
- ช่องโหว่ cross-site scripting (XSS) ถูกค้นพบเมื่อพยายามดาวน์โหลดไฟล์ที่มีขนาดใหญ่มาก
- พบช่องโหว่ในการเขียนสคริปต์ (XSS) ระหว่างไซต์ที่เกี่ยวข้องกับ "Customizer"
รายงานช่องโหว่หลายรายการมาจากนักวิจัยด้านความปลอดภัยใน "HackerOne" ในการสัมภาษณ์ล่าสุดกับ HackerOne หัวหน้าทีมรักษาความปลอดภัยของ WordPress Aaron Campbell กล่าวว่าทีมงานได้เห็นการรายงานเพิ่มขึ้นนับตั้งแต่เปิดตัวโปรแกรมรางวัลบั๊กต่อสาธารณะ
« ปริมาณการรายงานเพิ่มขึ้นอย่างมากตามที่คาดไว้ แต่ทีมงานของเราไม่จำเป็นต้องจัดการกับรายงานที่ไม่ถูกต้องใด ๆ ก่อนที่จะเผยแพร่โปรแกรมต่อสาธารณะ" , กล่าวว่า แคมป์เบล. " พลวัตของระบบชื่อเสียงของแฮ็กเกอร์เข้ามามีบทบาทเป็นครั้งแรกและเป็นเรื่องที่น่าสนใจมากที่จะเข้าใจวิธีการทำงานที่ดีที่สุด ".
หาก WordPress ยังคงรักษาปริมาณการรายงานเดิมในบัญชี HackerOne ใหม่ผู้ใช้อาจเห็นการเผยแพร่ความปลอดภัยบ่อยขึ้นในอนาคต
WordPress 4.7.5 ยังมีการแก้ไขการบำรุงรักษาจำนวนหนึ่ง ดูรายการการเปลี่ยนแปลงทั้งหมดสำหรับรายละเอียดเพิ่มเติม
