Megjelent a WordPress 4.7.2, amely minden előző verzióban megtalálható sérülékenységet javít. Ezek közül a legaggasztóbb:
- Oldalak és bejegyzések címének, tartalmának átírása, jogosultság nélkül: A WordPress REST API-ban találtak egy ilyen hibát, ezt is javítja ez új verzió. Ha 4.7, vagy 4.7.1-es verziót használsz, és nem szeretnéd, hogy spammelésre használják a weboldaladat, és a Google ezért büntetéssel és/vagy hátrasorolással válaszoljon erre, ajánlott azonnal frissíteni a legújabb verzióra!
Példa fertőzött oldalakra a Google listában:
A hiba nyilvánosságra kerülését követő 48 órán belül több mint 65 000 oldalt fertőzött meg csak egy „hacker”. Aki mellett természetesen mások is tevékenykednek, és fertőznek meg weboldalakat.
Példa egy fertőzött oldal külső megjelenésére:
Mit tegyél?
Először készíts egy biztonsági mentést, majd a „Vezérlőpult” => „Frissítések” menüpont alatt végezd el a frissítést!
További sérülékenységek, amelyeket javít ez a verzió
- SQL injection a (WP_Query)
- XSS sérülékenység (nem közvetlenül a WordPress-ben, a frissítés csak óvintézkedés, hogy adott esetben egy bővítmény miatt ne legyen sebezhető az oldal).
A talált hibák olyan súlyosak, hogy a Google Search Console (ha regisztrálva van ott az oldal) is küld róla e-mailt:
A WordPress 4.7.2 verzióben módosított fájlok:
- wp-admin/about.php
- wp-admin/includes/class-wp-press-this.php
- wp-admin/includes/class-wp-posts-list-table.php
- wp-includes/version.php
- wp-includes/class-wp-query.php
- wp-includes/class-wp-comment.php
- wp-includes/class-wp-term.php
- wp-includes/rest-api/endpoints/class-wp-rest-comments-controller.php
- wp-includes/rest-api/endpoints/class-wp-rest-taxonomies-controller.php
- wp-includes/rest-api/endpoints/class-wp-rest-post-types-controller.php
- wp-includes/rest-api/endpoints/class-wp-rest-posts-controller.php
- wp-includes/rest-api/endpoints/class-wp-rest-terms-controller.php
- wp-includes/rest-api/endpoints/class-wp-rest-post-statuses-controller.php
- wp-includes/rest-api/endpoints/class-wp-rest-revisions-controller.php
- wp-includes/rest-api/endpoints/class-wp-rest-users-controller.php
- wp-includes/class-wp-post.php
- wp-includes/rest-api.php
További részletek:
https://blog.sucuri.net/2017/02/content-injection-vulnerability-wordpress-rest-api.html