تیم توسعه وردپرس اعلام کرده است که در بروزرسانی 4.7.2 سه آسیب پذیری از جمله SQL Injection و XSS را رفع نموده است.
بروزرسانی جدید تنها پس از دو هفته بعد از نسخه 4.7.1 منتشر گردید. دو هفته پیش نسخه 4.7.1 برای رفع 62 bug و هشت ضعف امنیتی منتشر گردید. هم اکنون نسخه 4.7.2 در دسترس است. این یک نسخه امنیتی برای تمامی نسخه های قبلی است و تمامی استفاده کنندگان باید به سرعت بروزرسانی مربوطه را انجام دهند.
::: شرح آسیب پذیری
آسیبپذیری sql injection در کلاس WP_Query موجود است و به منظور دسترسی به متغیر ها، چک ها، و توابع مرتبط با هسته استفاده میگردد. کارشناسی به نام Mohammad jangda این آسیب پذیری را هنگام بررسی عبور داده ها در سیستم وردپرس کشف نموده است. ضعف فوق به طور مستقیم هسته وردپرس را تحت تاثیر قرار نمیدهد اما ریسک اصلی متوجه پلاگین ها و Theme های سامانه است و به طور ترکیبی میتواند آنها را درگیر نماید.
آسیب پذیری XSS رفع شده در این نسخه، کلاس مدیریت جداول لیست پست های وردپرس را تحت تاثیر قرار میدهد. این آسیب پذیری نیز توسط Ian Dunn از تیم امنیتی وردپرس کشف و گزارش شده است.
آسیب پذیری دیگری که به تازگی کشف شده است به کاربران سایت اجازه میدهد تا با استفاده از bookmarklet موجود در مرورگر، اقدام به انتشار پست در وردپرس نماید.همچنین قابل ذکر است که به گزارش تیم وردپرس نسخه 4.7 این سیستم مدیریت محتوا بیش از 10 بار از تاریخ 6 دسامبر 2016 تا کنون دانلود شده است.
برای مشاهده توضیحات بیشتر درباره این انتشار میتوانید لینک زیر را مشاهده نمایید:
https://wordpress.org/news/2017/01/wordpress-4-7-2-security-release/
- 6