O WordPress 4.7.5 foi lançado hoje com correções para seis problemas de segurança. Se você gerencia vários sites, pode ter visto notificações de atualização automática pousando em seus endereços de e-mail. A versão de segurança é para todas as versões anteriores e o WordPress recomenda uma atualização imediata. Sites com versões anteriores a 3,7, você precisará atualizar manualmente.
As vulnerabilidades corrigidas na versão 4.7.5 foram divulgadas de forma responsável para a equipe de segurança do WordPress por cinco equipes diferentes creditadas na postagem. Isso inclui o seguinte:
- Validação de redirecionamento insuficiente na classe HTTP
- Tratamento incorreto de metavaloresdados postar na API XML-RPC
- Falta de verificação de capacidade para meta-dados posteriormente na API XML-RPC
- Vulnerabilidade de Cross Site Request Forgery (CRSF) descoberta na caixa de diálogo de credenciais do sistema de arquivos
- Uma vulnerabilidade de script entre sites (XSS) foi descoberta ao tentar baixar arquivos muito grandes
- Uma vulnerabilidade de script (XSS) entre sites foi descoberta em conexão com o "Customizador"
Vários dos relatórios de vulnerabilidade vêm de pesquisadores de segurança do "HackerOne". Em uma entrevista recente ao HackerOne, o líder da equipe de segurança do WordPress Aaron Campbell disse que a equipe viu um aumento nos relatórios desde o lançamento público de seu programa de recompensa de bug.
« O aumento no volume de relatórios foi drástico como esperado, mas nossa equipe realmente não teve que lidar com nenhum relatório inválido antes de tornar o programa público." , disse Campbell. " A dinâmica do sistema de Reputação do Hacker realmente entrou em jogo pela primeira vez, e foi realmente interessante entender como trabalhar melhor ”.
Se o WordPress continuar a manter o mesmo volume de relatórios em sua nova conta HackerOne, os usuários poderão ver lançamentos de segurança mais frequentes no futuro.
O WordPress 4.7.5 também inclui algumas correções de manutenção. Veja a lista completa de alterações para mais detalhes.