Обновление безопасности WordPress 5.8.3 исправляет SQL-инъекцию и недостатки XSS

18
Бэкдор встроен в премиум-плагин для управления школами для WordPress

Команда разработчиков WordPress выпустила версию 5.8.3, краткосрочный выпуск безопасности, в котором устранены четыре уязвимости, три из которых имеют высокую степень важности.

Набор включает в себя SQL-инъекцию в WP_Query, слепую SQL-инъекцию через WP_Meta_Query, XSS-атаку через почтовые слаги и инъекцию объекта администратора.

У всех проблем есть предпосылки для их использования, и большинству сайтов WordPress, которые используют настройку автоматического обновления ядра по умолчанию, ничего не угрожает.

Однако сайты, использующие WordPress версии 5.8.2 или старше, с файловыми системами, доступными только для чтения, которые отключили автоматическое обновление ядра в wp-config.php, могут быть уязвимы для атак, основанных на выявленных недостатках.

Четыре недостатка, устраненные в последнем обновлении безопасности, следующие:

  • CVE-2022-21661 : Высокая степень серьезности (оценка CVSS 8,0) SQL-инъекция через WP_Query. Эту уязвимость можно использовать с помощью плагинов и тем, использующих WP-Query. Исправления охватывают версии WordPress до 3.7.37.
  • CVE-2022-21662 : Уязвимость XSS высокой степени серьезности (оценка CVSS 8,0), позволяющая авторам (пользователям с более низкими правами) добавлять вредоносный бэкдор или захватывать сайт, злоупотребляя слагами сообщений. Исправления охватывают версии WordPress до 3.7.37.
  • CVE-2022-21664 : Высокая степень серьезности (оценка CVSS 7,4) SQL-инъекция через базовый класс WP_Meta_Query. Исправления охватывают версии WordPress до 4.1.34.
  • CVE-2022-21663 : проблема внедрения объектов средней серьезности (оценка CVSS 6,6), которую можно использовать только в том случае, если злоумышленник скомпрометировал учетную запись администратора. Исправления охватывают версии WordPress до 3.7.37.

Не было сообщений о том, что вышеперечисленное активно эксплуатируется в дикой природе, и считается, что ни один из этих недостатков не окажет серьезного потенциального влияния на большинство сайтов WordPress.

Тем не менее, всем владельцам сайтов WordPress рекомендуется обновиться до версии 5.8.3, проверить конфигурацию своего брандмауэра и убедиться, что обновления ядра WP активированы.

Этот параметр можно увидеть в параметре «define» в wp-config.php, который должен быть «define (‘WP_AUTO_UPDATE_CORE’, true);»

Автоматические обновления ядра были введены в 2013 году в WordPress 3.7, и, согласно официальной статистике, только 0,7% всех сайтов WP в настоящее время используют более старую версию.

Последнее обновление 7 месяцев назад — GameZoom

Предыдущая статьяLeft to Survive
Следующая статьяЕвропол приказал стереть данные о тех, кто не связан с криминалом
Главный редактор сайта освещающий последние игровые новости и рассказывающий занимательные геймерские истории. Большой фанат онлайн-игр. Пополняет каталог проекта самыми интересными играми. Когда он не работает, вы, несомненно, можете найти его играющего в один из последних тайтлов.
0 0 голоса
Рейтинг статьи
Подписаться
Уведомить о
guest

0 комментариев
Межтекстовые Отзывы
Посмотреть все комментарии