В обновлении WordPress 5.8.1 устранены три проблемы безопасности в REST API, редакторе Gutenberg и библиотеке Lodash JavaScript.
WordPress анонсировал выпуск безопасности и обслуживания версии 5.8.1. Важно обновить WordPress, особенно версии с 5.4 по 5.8, чтобы исправить три проблемы с безопасностью.
Для WordPress или любого другого программного обеспечения в этом отношении не редкость публиковать обновление с исправлением ошибок после обновления основной версии, чтобы исправить непредвиденные проблемы, а также внести улучшения, которые не были вовремя для основного выпуска.
В WordPress эти обновления называются отладочными.
Это обновление также включает обновление безопасности, что несколько необычно для ядра WordPress. Это делает это обновление более важным, чем типичный отладочный выпуск.
WordPress 5.8.1 исправляет три уязвимости:
WordPress REST API — это интерфейс, который позволяет плагинам и темам взаимодействовать с ядром WordPress.
REST API был источником уязвимостей безопасности, в том числе совсем недавно уязвимость библиотеки шаблонов Gutenberg и Redux Framework, которая затронула более миллиона веб-сайтов.
Эта уязвимость описывается как уязвимость, связанная с раскрытием данных, что означает возможность раскрытия конфиденциальной информации. В настоящее время нет других подробностей относительно того, какая информация может быть столь же серьезной, как пароли к данным, которые могут быть использованы для организации атаки через другую уязвимость.
Уязвимости межсайтового скриптинга (XSS) возникают относительно часто. Они могут происходить всякий раз, когда пользователь вводит данные, такие как контактная или электронная форма, любой вид ввода, который не подвергается «дезинфекции», чтобы предотвратить загрузку скриптов, которые могут вызвать нежелательное поведение в установке WordPress.
Проект Open Web Application Security Project (OWASP) описывает потенциальный вред уязвимостей XSS :
«Злоумышленник может использовать XSS для отправки вредоносного сценария ничего не подозревающему пользователю. Браузер конечного пользователя не знает, что этому сценарию нельзя доверять, и выполнит его.
Поскольку он считает, что сценарий исходит из надежного источника, вредоносный сценарий может получить доступ к любым файлам cookie, токенам сеанса или другой конфиденциальной информации, сохраненной браузером и используемой на этом сайте. Эти сценарии могут даже переписать содержимое HTML-страницы».
Эта конкретная уязвимость затрагивает редактор блоков Гутенберга.
Эти уязвимости могут вызывать наибольшее беспокойство. Библиотека Lodash JavaScript — это набор скриптов, используемых разработчиками, у которых было обнаружено несколько уязвимостей.
Самая последняя и безопасная версия — Lodash 4.17.21.
Веб-сайт CVE List, спонсируемый Министерством национальной безопасности США, подробно описывает уязвимость :
«Версии Lodash до 4.17.21 уязвимы для внедрения команд через функцию шаблона».
Похоже, что существует множество других уязвимостей, влияющих на библиотеку Lodash в ветке 4.1.7.
Эти уязвимости безопасности делают это обновление неотложным. WordPress рекомендует всем издателям обновиться.
Официальное объявление WordPress рекомендует обновить:
«Поскольку это выпуск для системы безопасности, рекомендуется немедленно обновить свои сайты. Все версии, начиная с WordPress 5.4, также должны быть обновлены».