پوشش ضعف های امنیتی در WordPress v4.7.2

پوشش ضعف های امنیتی در WordPress v4.7.2

تاریخ ایجاد

تیم توسعه وردپرس اعلام کرده است که در بروزرسانی 4.7.2 سه آسیب پذیری از جمله SQL Injection و XSS را رفع نموده است.
بروزرسانی جدید تنها پس از دو هفته بعد از نسخه 4.7.1 منتشر گردید. دو هفته پیش نسخه 4.7.1 برای رفع 62 bug و هشت ضعف امنیتی منتشر گردید. هم اکنون نسخه 4.7.2 در دسترس است. این یک نسخه امنیتی برای تمامی نسخه های قبلی است و تمامی استفاده کنندگان باید به سرعت بروزرسانی مربوطه را انجام دهند.

::: شرح آسیب پذیری
آسیب­‌پذیری sql injection در کلاس WP_Query موجود است و به منظور دسترسی به متغیر ها، چک ها، و توابع مرتبط با هسته استفاده میگردد. کارشناسی به نام Mohammad jangda این آسیب پذیری را هنگام بررسی عبور داده ها در سیستم وردپرس کشف نموده است. ضعف فوق به طور مستقیم هسته وردپرس را تحت تاثیر قرار نمی­دهد اما ریسک اصلی متوجه پلاگین ها و Theme های سامانه است و به طور ترکیبی می­تواند آن­ها را درگیر نماید.
آسیب پذیری XSS رفع شده در این نسخه، کلاس مدیریت جداول لیست پست های وردپرس را تحت تاثیر قرار می­دهد. این آسیب پذیری نیز توسط Ian Dunn از تیم امنیتی وردپرس کشف و گزارش شده است.
آسیب پذیری دیگری که به تازگی کشف شده است به کاربران سایت اجازه می­دهد تا با استفاده از bookmarklet موجود در مرورگر،­ اقدام به انتشار پست در وردپرس نماید.همچنین قابل ذکر است که به گزارش تیم وردپرس نسخه 4.7 این سیستم مدیریت محتوا بیش از 10 بار از تاریخ 6 دسامبر 2016 تا کنون دانلود شده است.
برای مشاهده توضیحات بیشتر درباره این انتشار می­توانید لینک زیر را مشاهده نمایید:

https://wordpress.org/news/2017/01/wordpress-4-7-2-security-release/

برچسب‌ها