Патчи обновления безопасности WordPress Внешние библиотеки, несколько уязвимостей

Команда разработчиков WordPress выпустила WordPress 3.3.2 в пятницу, чтобы устранить несколько уязвимостей на популярной платформе блогов, а также в трех внешних библиотеках, которые в комплекте с ней по умолчанию.

Новая версия WordPress обновляет встроенную библиотеку Plupload до версии 1.5.4 после того, как ее разработчики на прошлой неделе исправили уязвимость подделки на основе межсайтового запроса (CSRF).

Plupload - это гибкая библиотека обработки загрузок с поддержкой различных режимов работы, включая HTML5, Flash, Silverlight, Gears и BrowserPlus. Он используется по умолчанию в WordPress для загрузки медиафайлов.

[Подробнее читайте: Как удалить вредоносное ПО с вашего ПК с Windows]

Несколько ошибок безопасности были также рассмотрены в двух других библиотеках, называемых SWFUpload и SWFObject, которые WordPress использовал в прошлое для загрузки медиафайлов и встраивания Flash, соответственно.

Несмотря на то, что WordPress больше не использует эти библиотеки, по умолчанию они по-прежнему поставляются платформой для поддержки обратной совместимости со старыми темами и плагинами, которые полагаются на них.

В новой версии WordPress также были рассмотрены две уязвимости межсайтового скриптинга (XSS), которые могут быть использованы при клике по URL-адресу, при фильтрации URL-адресов или при перенаправлении пользователей после публикации комментариев в старых браузерах, заявили разработчики WordPress в выпуске Примечания.

Уязвимость при эскалации привилегий с ограниченным воздействием, которое администратор сайта может использовать для деактивации сетевых плагинов при работе в сети WordPress в частности Кроме того, были установлены фиксированные условия.

WordPress - общая цель для хакеров, которые используют уязвимости в устаревших установках для внедрения вредоносного кода в веб-сайты, работающие на платформе. Вредоносная программа Flashback, которая недавно заразила более 600 000 компьютеров Mac, была распространена с помощью атак на основе Интернета, запущенных с взломанных веб-сайтов WordPress.

Исследователи безопасности советуют владельцам веб-сайтов постоянно обновлять свои установки WordPress и все связанные с ними плагины и темы все время. Обновление WordPress 3.3.2 должно появляться автоматически в меню «Обновления» в административной панели мониторинга, но пользователи также могут выполнять обновление вручную.