وردپرس اعلام کرد که در حال انتشار نسخه نگهداری و امنیتی است که چندین آسیب پذیری از جمله آسیب پذیری را که می تواند منجر به تصاحب کامل سایت شود را اصلاح می کند.
نگهداری و امنیت نسخه وردپرس 6.3.2
وردپرس 6.3.2 41 رفع اشکال را ارائه می دهد، اما مهمتر از آن با وصله هایی برای هشت آسیب پذیری ارسال می شود.
هشت آسیبپذیری زیر اخیراً کشف و اصلاح شدهاند:
- یک آسیب پذیری در هسته وردپرس که امکان اجرای کد کوتاه دلخواه را فراهم می کند
- افشای احتمالی آدرس های ایمیل کاربر توسط هکرهای احراز هویت نشده با استفاده از
- آسیب پذیری POP Chains اجرای کد از راه دور
- آسیبپذیری اسکریپت بین سایتی (XSS) در بلوک ناوبری پیوند پست
- نمایان شدن نظرات درز در پست های خصوصی
- آسیب پذیری اسکریپت بین سایتی (XSS) در صفحه رمزهای عبور برنامه منعکس شده است
- آسیبپذیری Cross-site scripting (XSS) در بلوک پاورقی
- آسیب پذیری انکار سرویس (DoS) مسمومیت کش
برخی از آسیبپذیریها به دلیل پاکسازی ناکافی ورودی است، به این معنی که دادههایی که ارسال میشوند، ورودیهای مخرب را فیلتر نمیکنند.
صفحه رسمی توسعه دهنده وردپرس برای پاکسازی ورودی به اطلاع می رساند:
«دادههای غیرقابل اعتماد از منابع بسیاری (کاربران، سایتهای شخص ثالث، حتی پایگاه داده خودتان!) میآیند و همه آنها باید قبل از استفاده بررسی شوند.
ورودی پاکسازی فرآیند ایمنسازی/تمیز کردن/فیلتر کردن دادههای ورودی است.
اعتبار سنجی بر ضدعفونی ترجیح داده می شود زیرا اعتبارسنجی خاص تر است.
اما زمانی که «ویژه تر» امکان پذیر نباشد، پاکسازی بهترین کار بعدی است.»
همه آسیبپذیریها بهعنوان شدت متوسط رتبهبندی میشوند، از جمله وصلههایی برای پنج مشکل با شدت متوسط.
یک توصیه در مورد نسخه امنیتی فعلی ارسال شده توسط Wordfence اشاره می کند که حداقل یکی از آسیب پذیری ها دارای پتانسیل برای تصاحب کامل سایت است.
وردپرس به همه کاربران توصیه می کند که تأیید کنند که نصب وردپرس آنها به آخرین نسخه، وردپرس نسخه 6.3.2 به روز شده است.
طبق اعلامیه رسمی وردپرس:
از آنجایی که این یک نسخه امنیتی است، توصیه می شود فورا سایت های خود را به روز کنید.
Backport ها برای سایر نسخه های اصلی وردپرس، نسخه 4.1 و بالاتر نیز در دسترس هستند.
اطلاعیه رسمی انتشار امنیت وردپرس را بخوانید:
WordPress 6.3.2 – انتشار نگهداری و امنیت
تصویر ویژه توسط Shutterstock/Light_Lenser