В обновлении WordPress 5.8.1 устранены три проблемы безопасности в REST API, редакторе Gutenberg и библиотеке Lodash JavaScript.
WordPress анонсировал выпуск безопасности и обслуживания версии 5.8.1. Важно обновить WordPress, особенно версии с 5.4 по 5.8, чтобы исправить три проблемы с безопасностью.
WordPress версии 5.8.1 для обеспечения безопасности и обслуживания
Для WordPress или любого другого программного обеспечения в этом отношении не редкость публиковать обновление с исправлением ошибок после обновления основной версии, чтобы исправить непредвиденные проблемы, а также внести улучшения, которые не были вовремя для основного выпуска.
В WordPress эти обновления называются отладочными.
Это обновление также включает обновление безопасности, что несколько необычно для ядра WordPress. Это делает это обновление более важным, чем типичный отладочный выпуск.
Исправлены проблемы безопасности WordPress
WordPress 5.8.1 исправляет три уязвимости:
- Уязвимость к раскрытию данных в REST API
- Уязвимость межсайтового скриптинга (XSS) в редакторе блоков Гутенберга
- Множественные критические и высокие уязвимости в библиотеке Lodash JavaScript.
Уязвимость REST API
WordPress REST API – это интерфейс, который позволяет плагинам и темам взаимодействовать с ядром WordPress.
REST API был источником уязвимостей безопасности, в том числе совсем недавно уязвимость библиотеки шаблонов Gutenberg и Redux Framework, которая затронула более миллиона веб-сайтов.
Эта уязвимость описывается как уязвимость, связанная с раскрытием данных, что означает возможность раскрытия конфиденциальной информации. В настоящее время нет других подробностей относительно того, какая информация может быть столь же серьезной, как пароли к данным, которые могут быть использованы для организации атаки через другую уязвимость.
Уязвимость WordPress Gutenberg для XSS
Уязвимости межсайтового скриптинга (XSS) возникают относительно часто. Они могут происходить всякий раз, когда пользователь вводит данные, такие как контактная или электронная форма, любой вид ввода, который не подвергается «дезинфекции», чтобы предотвратить загрузку скриптов, которые могут вызвать нежелательное поведение в установке WordPress.
Проект Open Web Application Security Project (OWASP) описывает потенциальный вред уязвимостей XSS :
«Злоумышленник может использовать XSS для отправки вредоносного сценария ничего не подозревающему пользователю. Браузер конечного пользователя не знает, что этому сценарию нельзя доверять, и выполнит его.
Поскольку он считает, что сценарий исходит из надежного источника, вредоносный сценарий может получить доступ к любым файлам cookie, токенам сеанса или другой конфиденциальной информации, сохраненной браузером и используемой на этом сайте. Эти сценарии могут даже переписать содержимое HTML-страницы».
Эта конкретная уязвимость затрагивает редактор блоков Гутенберга.
Уязвимости библиотеки JavaScript Lodash WordPress
Эти уязвимости могут вызывать наибольшее беспокойство. Библиотека Lodash JavaScript – это набор скриптов, используемых разработчиками, у которых было обнаружено несколько уязвимостей.
Самая последняя и безопасная версия – Lodash 4.17.21.
Веб-сайт CVE List, спонсируемый Министерством национальной безопасности США, подробно описывает уязвимость :
«Версии Lodash до 4.17.21 уязвимы для внедрения команд через функцию шаблона».
Похоже, что существует множество других уязвимостей, влияющих на библиотеку Lodash в ветке 4.1.7.
WordPress требует немедленного обновления
Эти уязвимости безопасности делают это обновление неотложным. WordPress рекомендует всем издателям обновиться.
Официальное объявление WordPress рекомендует обновить:
«Поскольку это выпуск для системы безопасности, рекомендуется немедленно обновить свои сайты. Все версии, начиная с WordPress 5.4, также должны быть обновлены».