WordPress 4.7.3 – naprawiono sześć problemów bezpieczeństwa

English version: WordPress 4.7.3 – six security issues has been fixed

Jest to aktualizacja zabezpieczeń dotycząca wszystkich poprzednich wersji i gorąco zachęcamy do natychmiastowej aktualizacji witryn.

Wersje WordPressa 4.7.2 i starsze są dotknięte sześcioma lukami bezpieczeństwa:

1. Atak typu cross-site scripting (XSS) za pośrednictwem metadanych plików multimedialnych. Zgłosili: Chris Andrè Dale , Yorick Koster i Simon P. Briggs.
2. Znaki kontrolne mogą oszukać walidację adresu URL przekierowania. Zgłoszone przez Daniela Chatfielda .
3. Administratorzy mogą usunąć niechciane pliki za pomocą funkcji usuwania wtyczek. Zgłoszone przez xuliang .
4. Atak typu cross-site scripting (XSS) za pośrednictwem adresu URL wideo w osadzonych materiałach YouTube. Zgłoszone przez Marca Montpasa .
5. Atak typu cross-site scripting (XSS) za pośrednictwem nazw terminów taksonomicznych. Zgłoszone przez Delta .
6. Fałszowanie żądań między witrynami (CSRF) w druku. Prowadzi to do nadmiernego wykorzystania zasobów serwera. Zgłoszone przez Sipke Mellemę.

Oprócz powyższych problemów z bezpieczeństwem, naprawiono 12 błędów w interfejsie API REST. Tak, znowu je macie – 12 nowych powodów, dla których warto ograniczyć dostęp lub całkowicie wyłączyć interfejs API REST, zgodnie z wcześniejszymi zaleceniami .