תיקוני אבטחה של וורדפרס ספריות חיצוניות, מספר פגיעויות

צוות הפיתוח וורדפרס פרסמה וורדפרס 3.3.2 ביום שישי כדי להתמודד עם מספר פגיעויות פלטפורמת בלוגים פופולרי, כמו גם בשלוש ספריות חיצוניות כי הם מקובצים עם זה כברירת מחדל. > הגירסה החדשה של WordPress מעדכנת את ספריית Plupload המקושרת לגירסה 1.5.4, לאחר שהמפתחים שלה תוקנו פגיעות של זיוף בקשת אתר (CSRF) בשבוע שעבר.

Plupload היא ספריית טיפול טעינה גמישה עם תמיכה במגוון רחב של runtimes כולל HTML5, פלאש, Silverlight, Gears ו BrowserPlus. הוא משמש כברירת מחדל ב- WordPress כדי להעלות קבצי מדיה.

[קריאה נוספת: כיצד להסיר תוכנות זדוניות ממחשב Windows שלך]

מספר באגים באבטחה נדונו גם בשתי ספריות אחרות הנקראות SWFUpload ו- SWFObject, שבהן השתמשה WordPress העבר עבור העלאת קובץ מדיה והטמעת Flash, בהתאמה.

למרות ש- WordPress כבר לא משתמש בספריות אלה, הם עדיין נשלחים עם הפלטפורמה כברירת מחדל כדי לשמור על תאימות לאחור עם נושאים ותוספים ישנים יותר התלויים בהם.

שתי פגיעות של Scripting בין אתרים (XSS) שניתן לנצלן בעת ​​הפיכת כתובות אתרים ללחיצה, בעת סינון כתובות אתרים או בעת הפניה מחדש של משתמשים לאחר פרסום הערות בדפדפנים ישנים, נדונו גם בגרסת WordPress החדשה, כך אומרים מפתחי וורדפרס הערות.

פגיעות של הגדלת הרשאות בעלת השפעה מוגבלת שניתן לנצל על-ידי מנהל אתר כדי לבטל את הפעלת יישומי הפלאגין בכל הרשת בעת הפעלת רשת וורדפרס תחת פרטו

WordPress הוא יעד משותף עבור האקרים, המנצלים פגיעויות בהתקנות מיושנות להזריק קוד זדוני לאתרי אינטרנט המופעלים על ידי הפלטפורמה. תוכנות זדוניות של פלאשבק אשר נגעו לאחרונה למעלה מ -600,000 מחשבי Mac הופצו באמצעות התקפות מבוססות אינטרנט שהושקו מאתרי וורדפרס שנפגעו.

חוקרי אבטחה מייעצים לבעלי אתרים לשמור על התקנות של וורדפרס ועל כל יישומי הפלאגין והנושאים המשויכים אליהם כל הזמן. העדכון של WordPress 3.3.2 אמור להופיע באופן אוטומטי בתפריט 'עדכונים' במרכז השליטה הראשי, אך המשתמשים יכולים גם לבצע עדכון ידני.