WordPress 4.7.5 è stato rilasciato oggi con correzioni a sei problemi di sicurezza. Se gestisci più siti, potresti aver visto le notifiche di aggiornamento automatico atterrare sui tuoi indirizzi email. La versione di sicurezza è per tutte le versioni precedenti e WordPress consiglia un aggiornamento immediato. Poiché i siti hanno versioni inferiori alla 3,7, sarà necessario aggiornare manualmente.

Le vulnerabilità corrette nella versione 4.7.5 sono state divulgate in modo responsabile al team di sicurezza di WordPress da cinque diversi team accreditati nel post. Questi includono quanto segue:

  • Validazione insufficiente di reindirizzamento nella classe HTTP
  • Gestione errata dei meta valoridati post nell'API XML-RPC
  • Mancanza di verifica della capacità per meta-dati successivamente nell'API XML-RPC
  • Rilevata vulnerabilità Cross Site Request Forgery (CRSF) nella finestra di dialogo delle credenziali del file system
  • È stata rilevata una vulnerabilità di cross-site scripting (XSS) durante il tentativo di scaricare file di dimensioni molto grandi
  • È stata rilevata una vulnerabilità di scripting (XSS) tra i siti in relazione al "Customizer"

Molti dei rapporti di vulnerabilità provengono da ricercatori di sicurezza su "HackerOne". In una recente intervista con HackerOne, Aaron Campbell, leader del team di sicurezza di WordPress, ha affermato che il team ha visto un aumento dei rapporti dal lancio pubblico del suo programma di bug bounty.

« L'aumento del volume dei rapporti è stato drastico come previsto, ma il nostro team non ha avuto a che fare con rapporti non validi prima di rendere pubblico il programma." , disse Campbell. ' La dinamica del sistema Hacker Reputation è entrata davvero in gioco per la prima volta ed è stato davvero interessante capire come lavorare al meglio ".

Se WordPress continua a mantenere lo stesso volume di rapporti sul suo nuovo account HackerOne, gli utenti potrebbero vedere rilasci di sicurezza più frequenti in futuro.

WordPress 4.7.5 include anche una manciata di correzioni di manutenzione. Vedi l'elenco completo delle modifiche per maggiori dettagli.