WordPress 4.7.5 dirilis hari ini dengan perbaikan untuk enam masalah keamanan. Jika Anda mengelola beberapa situs, Anda mungkin telah melihat pemberitahuan pembaruan otomatis mendarat di alamat email Anda. Versi keamanan untuk semua versi sebelumnya dan WordPress merekomendasikan pembaruan segera. Situs yang memiliki versi lebih rendah dari 3,7, Anda perlu memperbarui secara manual.
Kerentanan yang diperbaiki pada versi 4.7.5 telah diungkapkan secara bertanggung jawab kepada tim keamanan WordPress oleh lima tim berbeda yang dikreditkan di pos tersebut. Ini termasuk yang berikut:
- Validasi Redirection yang Tidak Cukup di Kelas HTTP
- Penanganan nilai meta yang tidak tepatdonnées posting di XML-RPC API
- Kurangnya verifikasi kemampuan untuk meta-données nanti di XML-RPC API
- Kerentanan Cross Site Request Forgery (CRSF) ditemukan dalam dialog kredensial sistem file
- Kerentanan cross-site scripting (XSS) ditemukan ketika mencoba mengunduh file yang sangat besar
- Kerentanan skrip (XSS) antar situs ditemukan sehubungan dengan "Penyesuai"
Beberapa laporan kerentanan berasal dari peneliti keamanan di "HackerOne". Dalam wawancara baru-baru ini dengan HackerOne, pemimpin tim keamanan WordPress Aaron Campbell mengatakan bahwa tim telah melihat peningkatan pelaporan sejak peluncuran publik program bug bountynya.
« Peningkatan volume laporan drastis seperti yang diharapkan, tetapi tim kami benar-benar tidak perlu berurusan dengan laporan yang tidak valid sebelum mempublikasikan program.", kata Campbell. ' Dinamika sistem Reputasi Peretas benar-benar berperan untuk pertama kalinya, dan sangat menarik untuk memahami cara bekerja dengan baik ”.
Jika WordPress terus mempertahankan volume pelaporan yang sama pada akun HackerOne barunya, pengguna mungkin akan melihat rilis keamanan yang lebih sering di masa mendatang.
WordPress 4.7.5 juga mencakup beberapa perbaikan pemeliharaan. Lihat daftar lengkap perubahan untuk detail lebih lanjut.
