وردپرس آپدیت آسیب پذیری امنیتی ۶.۰۲ را منتشر کرد

وردپرس به‌روزرسانی حاوی رفع اشکال و وصله‌های امنیتی برای رفع سه آسیب‌پذیری با شدت شدید تا متوسط ​​منتشر کرد.

به‌روزرسانی‌ها ممکن است به‌طور خودکار دانلود و نصب شده باشند، بنابراین بررسی اینکه آیا وب‌سایت واقعاً به ۶.۰۲ به‌روزرسانی شده است یا خیر و آیا همه چیز همچنان به طور عادی کار می‌کند، ضروری است.

رفع اشکال

به‌روزرسانی شامل دوازده اصلاح برای هسته وردپرس و پنج مورد برای ویرایشگر بلوک است.

یک تغییر قابل توجه بهبود فهرست الگوها است، که قرار است به نویسندگان طرح زمینه کمک کند تا الگوهای مربوط به مضامین خود را ارائه دهند.

هدف این تغییر جذاب‌تر کردن آن برای استفاده توسط نویسندگان طرح زمینه است تا آنها از آن استفاده کنند و تجربه کاربری بهتری را به ناشران ارائه دهند.

“بسیاری از نویسندگان طرح زمینه می خواهند با استفاده از remove_theme_support (“core-block-patterns”) همه الگوهای اصلی و راه دور را به طور پیش فرض غیرفعال کنند. این تضمین می‌کند که آنها فقط الگوهای مرتبط با موضوع خود را به مشتریان/مشتریان ارائه می‌دهند.

این تغییر دایرکتوری الگو را از دیدگاه نویسنده طرح زمینه جذاب‌تر/قابل استفاده‌تر می‌کند.”

سه وصله امنیتی

اولین آسیب پذیری به عنوان آسیب پذیری SQL Injection با شدت بالا توصیف می شود.

یک آسیب‌پذیری تزریق SQL به مهاجم اجازه می‌دهد تا پایگاه داده‌ای را که زیربنای وب‌سایت را تشکیل می‌دهد پرس و جو کند و داده‌های حساس را اضافه، مشاهده، حذف یا اصلاح کند.

طبق گزارش Wordfence، وردپرس ۶.۰۲ یک آسیب‌پذیری با شدت بالا آسیب‌پذیری تزریق SQL را اصلاح می‌کند، اما این آسیب‌پذیری برای اجرا به امتیازات مدیریتی نیاز دارد.

Wordfence این آسیب پذیری را تشریح کرد:

«عملکرد پیوند وردپرس، که قبلاً به عنوان «نشانک‌ها» شناخته می‌شد، دیگر به‌طور پیش‌فرض در نصب‌های جدید وردپرس فعال نیست.

سایت‌های قدیمی‌تر ممکن است همچنان این عملکرد را فعال کنند، به این معنی که میلیون‌ها سایت قدیمی به طور بالقوه آسیب‌پذیر هستند، حتی اگر نسخه‌های جدیدتر وردپرس را اجرا کنند.

خوشبختانه، متوجه شدیم که این آسیب‌پذیری به امتیازات مدیریتی نیاز دارد و سوءاستفاده در یک پیکربندی پیش‌فرض دشوار است.”

آسیب‌پذیری دوم و سوم به‌عنوان اسکریپت‌های بین‌سایتی ذخیره‌شده توصیف می‌شوند، که یکی از آن‌ها بر اکثریت «عظیم» ناشران وردپرس تأثیر نمی‌گذارد.

لحظه کتابخانه تاریخ جاوا اسکریپت به روز شد

یک آسیب‌پذیری دیگر برطرف شد، اما بخشی از هسته وردپرس نبود. این آسیب پذیری مربوط به یک کتابخانه داده جاوا اسکریپت به نام Moment است که وردپرس از آن استفاده می کند.

آسیب‌پذیری به کتابخانه جاوا اسکریپت یک شماره CVE اختصاص داده شد و جزئیات در پایگاه داده آسیب پذیری ملی دولت ایالات متحده موجود است. این به عنوان یک رفع اشکال در وردپرس مستند شده است.

چه باید کرد

به‌روزرسانی باید به‌طور خودکار در سایت‌ها از نسخه ۳.۷ منتشر شود.

ممکن است بررسی کنید که آیا سایت به درستی کار می‌کند و هیچ تداخلی با موضوع فعلی و افزونه‌های نصب‌شده وجود ندارد.

نقل‌ها

نسخه امنیت و نگهداری WordPress Core 6.0.2 – آنچه باید بدانید

در صورت غیرفعال شدن الگوهای اصلی، ثبت الگو از راه دور در theme.json مجاز است.

تصویر ویژه توسط Shutterstock/Krakenimages.com