Zero
Una settimana dopo aver rilasciato il suo primo importante aggiornamento un po ‘ di tempo, il team di WordPress ha spinto la prima patch di sicurezza per il suo nuovo WordPress 5.0 ramo.
Pubblicato ore fa, la versione di WordPress 5.0.1 correzioni sette vulnerabilità di sicurezza (alcuni dei quali permettono di acquisizione), ma anche le spine di una piuttosto grave perdita di privacy.
L’ultimo è stato trovato dagli autori del popolare Yoast SEO plugin, che ha scoperto che in alcuni casi la schermata di attivazione per i nuovi utenti potrebbe finire per essere indicizzati da Google.
Con appositamente predisposto le ricerche di Google, un utente malintenzionato potrebbe trovare in queste pagine e raccogliere gli indirizzi email, e in alcuni rari casi, default password generate dal.
Questa perdita potrebbe avere conseguenze catastrofiche se l’utente ha un ruolo di amministratore, oppure se l’utente non ha cambiato la sua password di default, come è regolarmente informata.
In cima a questo, WordPress 5.0.1 aggiunge anche il supporto per una più forte MIME processo di convalida per i file caricati.
“Prima 5.0.1, WordPress non richiedono i file caricati per passare MIME tipo di verifica, in modo che i file possono essere caricati anche se il contenuto non corrisponde l’estensione del file. Ad esempio, un file binario può essere caricato con un .jpg estensione,” ha detto Ian Dunn, un CMS WordPress developer.
“Questo non è più il caso, e il contenuto dei file caricati, ora, deve corrispondere la loro estensione. Più validi, i file dovrebbero essere interessati, ma ci possono essere casi in cui il file deve essere rinominato l’estensione corretta (ad esempio, OpenOffice doc andando .pptx .ppxs),” Dunn ha detto.
Il team di WordPress ha migliorato i suoi MIME processo di convalida dopo due ricercatori di sicurezza, Tim Coen e Ciao, scoperto che gli autori su Apache siti ospitati può caricare opportunamente il file di bypass MIME verifica, portando ad un cross-site scripting vulnerabilità.
In cima a questo, Coen ha anche scoperto che gli utenti di WordPress potrebbe modificare nuovi commenti da più privilegi degli utenti, che possono portare a un cross-site scripting vulnerabilità, e che un URL appositamente predisposto ingressi potrebbe portare a un cross-site scripting vulnerabilità in alcune circostanze. In questo ultimo caso, il CMS WordPress stessa non è stata influenzata, ma Coen ha detto WordPress plugin potrebbero essere interessati in alcuni scenari.
Ma il più grande dei sette falle di sicurezza segnalato al team di WordPress e fissa in v5.0.1 è il problema di Sam Thomas, Secarma Labs, di cui ZDNet ha scritto lo scorso agosto, –ulteriori dettagli qui– e che può portare alla completa dei siti acquisizioni.
In cima a questo, il team di WordPress anche risolti due bug segnalati dagli STRAPPI Tecnologie. Un bug che potrebbe consentire agli autori di modificare i meta dati per eliminare i file che non sono stati autorizzati, e la seconda ha permesso agli autori di creare non autorizzato di messaggi.
Oggi correzioni sono state anche portate al precedente 4.x ramo, gli utenti che hanno ricevuto la versione 4.9.9 per affrontare i problemi segnalati. Siti dove
Più copertura di sicurezza:
Navi infettati con ransomware, USB malware, wormsFor il quarto mese consecutivo, le patch Microsoft Windows zero-day usata in wildSuper Micro dice di sicurezza esterna di revisione non ha trovato prove di backdoor chipsGoogle+ colpito da seconda API bug impatto di 52,5 milioni di usersHP offre agli hacker di $10.000 per trovare bug nei suoi stampanti TechRepublicFacebook attrae ricercatori con 40.000 dollari di ricompensa per conto di acquisizione vulnerabilitiesThe rockstar hacker che protegge dai cattivi CNETHackers può sfruttare questo bug in telecamere di sorveglianza per manomettere metraggio
Argomenti Correlati:
Open Source
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati
0