وردپرس بهروزرسانی حاوی رفع اشکال و وصلههای امنیتی برای رفع سه آسیبپذیری با شدت شدید تا متوسط منتشر کرد.
بهروزرسانیها ممکن است بهطور خودکار دانلود و نصب شده باشند، بنابراین بررسی اینکه آیا وبسایت واقعاً به ۶.۰۲ بهروزرسانی شده است یا خیر و آیا همه چیز همچنان به طور عادی کار میکند، ضروری است.
رفع اشکال
بهروزرسانی شامل دوازده اصلاح برای هسته وردپرس و پنج مورد برای ویرایشگر بلوک است.
یک تغییر قابل توجه بهبود فهرست الگوها است، که قرار است به نویسندگان طرح زمینه کمک کند تا الگوهای مربوط به مضامین خود را ارائه دهند.
هدف این تغییر جذابتر کردن آن برای استفاده توسط نویسندگان طرح زمینه است تا آنها از آن استفاده کنند و تجربه کاربری بهتری را به ناشران ارائه دهند.
“بسیاری از نویسندگان طرح زمینه می خواهند با استفاده از remove_theme_support (“core-block-patterns”) همه الگوهای اصلی و راه دور را به طور پیش فرض غیرفعال کنند. این تضمین میکند که آنها فقط الگوهای مرتبط با موضوع خود را به مشتریان/مشتریان ارائه میدهند.
این تغییر دایرکتوری الگو را از دیدگاه نویسنده طرح زمینه جذابتر/قابل استفادهتر میکند.”
سه وصله امنیتی
اولین آسیب پذیری به عنوان آسیب پذیری SQL Injection با شدت بالا توصیف می شود.
یک آسیبپذیری تزریق SQL به مهاجم اجازه میدهد تا پایگاه دادهای را که زیربنای وبسایت را تشکیل میدهد پرس و جو کند و دادههای حساس را اضافه، مشاهده، حذف یا اصلاح کند.
طبق گزارش Wordfence، وردپرس ۶.۰۲ یک آسیبپذیری با شدت بالا آسیبپذیری تزریق SQL را اصلاح میکند، اما این آسیبپذیری برای اجرا به امتیازات مدیریتی نیاز دارد.
Wordfence این آسیب پذیری را تشریح کرد:
«عملکرد پیوند وردپرس، که قبلاً به عنوان «نشانکها» شناخته میشد، دیگر بهطور پیشفرض در نصبهای جدید وردپرس فعال نیست.
سایتهای قدیمیتر ممکن است همچنان این عملکرد را فعال کنند، به این معنی که میلیونها سایت قدیمی به طور بالقوه آسیبپذیر هستند، حتی اگر نسخههای جدیدتر وردپرس را اجرا کنند.
خوشبختانه، متوجه شدیم که این آسیبپذیری به امتیازات مدیریتی نیاز دارد و سوءاستفاده در یک پیکربندی پیشفرض دشوار است.”
آسیبپذیری دوم و سوم بهعنوان اسکریپتهای بینسایتی ذخیرهشده توصیف میشوند، که یکی از آنها بر اکثریت «عظیم» ناشران وردپرس تأثیر نمیگذارد.
لحظه کتابخانه تاریخ جاوا اسکریپت به روز شد
یک آسیبپذیری دیگر برطرف شد، اما بخشی از هسته وردپرس نبود. این آسیب پذیری مربوط به یک کتابخانه داده جاوا اسکریپت به نام Moment است که وردپرس از آن استفاده می کند.
آسیبپذیری به کتابخانه جاوا اسکریپت یک شماره CVE اختصاص داده شد و جزئیات در پایگاه داده آسیب پذیری ملی دولت ایالات متحده موجود است. این به عنوان یک رفع اشکال در وردپرس مستند شده است.
چه باید کرد
بهروزرسانی باید بهطور خودکار در سایتها از نسخه ۳.۷ منتشر شود.
ممکن است بررسی کنید که آیا سایت به درستی کار میکند و هیچ تداخلی با موضوع فعلی و افزونههای نصبشده وجود ندارد.
نقلها
نسخه امنیت و نگهداری WordPress Core 6.0.2 – آنچه باید بدانید
در صورت غیرفعال شدن الگوهای اصلی، ثبت الگو از راه دور در theme.json مجاز است.
تصویر ویژه توسط Shutterstock/Krakenimages.com