W dniu 13 grudnia została opublikowana nowa wersja WordPressa – 5.0.1.

Naprawione zostały poniższe podatności:

  • Autorzy mogą zmieniać metadane w celu usunięcia plików, do których nie byli uprawnieni.
  • Autorzy mogą tworzyć posty o nieautoryzowanych typach postów ze specjalnie spreparowanym wpisem.
  • Współautorzy mogą tworzyć metadane w sposób, który zaowocował wstrzyknięciem obiektów PHP.
  • Współautorzy mogą edytować nowe komentarze bardziej uprzywilejowanych użytkowników, co może prowadzić do podatności na ataki typu cross-site scripting.
  • Specjalnie spreparowane wejścia URL mogą w niektórych okolicznościach doprowadzić do podatności na ataki typu cross-site scripting. Sam WordPress nie został naruszony, ale wtyczki mogą być podatne w niektórych sytuacjach.
  • Ekran aktywacyjny użytkownika może być indeksowany przez wyszukiwarki w niektórych rzadkich konfiguracjach, co prowadzi do ujawnienia adresów e-mail, a w niektórych przypadkach do domyślnie generowanych haseł.
  • Autorzy witryn hostowanych przez Apache mogą przesyłać specjalnie spreparowane pliki pomijające weryfikację MIME, co prowadzi do podatności na ataki typu cross-site scripting.

CERT PSE zachęca administratorów do zapoznania się z informacją o aktualizacji zabezpieczeń WordPress i zastosowanie niezbędnych poprawek.