Обновление безопасности WordPress 5.8.3 исправляет SQL-инъекцию и недостатки XSS

12
Более 90 тем и плагинов WordPress подверглись атаке на цепочку поставок

Команда разработчиков WordPress выпустила версию 5.8.3, краткосрочный выпуск безопасности, в котором устранены четыре уязвимости, три из которых имеют высокую степень важности.

Набор включает в себя SQL-инъекцию в WP_Query, слепую SQL-инъекцию через WP_Meta_Query, XSS-атаку через почтовые слаги и инъекцию объекта администратора.

У всех проблем есть предпосылки для их использования, и большинству сайтов WordPress, которые используют настройку автоматического обновления ядра по умолчанию, ничего не угрожает.

Однако сайты, использующие WordPress версии 5.8.2 или старше, с файловыми системами, доступными только для чтения, которые отключили автоматическое обновление ядра в wp-config.php, могут быть уязвимы для атак, основанных на выявленных недостатках.

Четыре недостатка, устраненные в последнем обновлении безопасности, следующие:

  • CVE-2022-21661 : Высокая степень серьезности (оценка CVSS 8,0) SQL-инъекция через WP_Query. Эту уязвимость можно использовать с помощью плагинов и тем, использующих WP-Query. Исправления охватывают версии WordPress до 3.7.37.
  • CVE-2022-21662 : Уязвимость XSS высокой степени серьезности (оценка CVSS 8,0), позволяющая авторам (пользователям с более низкими правами) добавлять вредоносный бэкдор или захватывать сайт, злоупотребляя слагами сообщений. Исправления охватывают версии WordPress до 3.7.37.
  • CVE-2022-21664 : Высокая степень серьезности (оценка CVSS 7,4) SQL-инъекция через базовый класс WP_Meta_Query. Исправления охватывают версии WordPress до 4.1.34.
  • CVE-2022-21663 : проблема внедрения объектов средней серьезности (оценка CVSS 6,6), которую можно использовать только в том случае, если злоумышленник скомпрометировал учетную запись администратора. Исправления охватывают версии WordPress до 3.7.37.

Не было сообщений о том, что вышеперечисленное активно эксплуатируется в дикой природе, и считается, что ни один из этих недостатков не окажет серьезного потенциального влияния на большинство сайтов WordPress.

Тем не менее, всем владельцам сайтов WordPress рекомендуется обновиться до версии 5.8.3, проверить конфигурацию своего брандмауэра и убедиться, что обновления ядра WP активированы.

Этот параметр можно увидеть в параметре «define» в wp-config.php, который должен быть «define (‘WP_AUTO_UPDATE_CORE’, true);»

Автоматические обновления ядра были введены в 2013 году в WordPress 3.7, и, согласно официальной статистике, только 0,7% всех сайтов WP в настоящее время используют более старую версию.

Предыдущая статьяLeft to Survive
Следующая статьяЕвропол приказал стереть данные о тех, кто не связан с криминалом

ОСТАВЬТЕ ОТВЕТ

Пожалуйста, введите ваш комментарий!
пожалуйста, введите ваше имя здесь