W dniu 13 grudnia została opublikowana nowa wersja WordPressa – 5.0.1.
Naprawione zostały poniższe podatności:
- Autorzy mogą zmieniać metadane w celu usunięcia plików, do których nie byli uprawnieni.
- Autorzy mogą tworzyć posty o nieautoryzowanych typach postów ze specjalnie spreparowanym wpisem.
- Współautorzy mogą tworzyć metadane w sposób, który zaowocował wstrzyknięciem obiektów PHP.
- Współautorzy mogą edytować nowe komentarze bardziej uprzywilejowanych użytkowników, co może prowadzić do podatności na ataki typu cross-site scripting.
- Specjalnie spreparowane wejścia URL mogą w niektórych okolicznościach doprowadzić do podatności na ataki typu cross-site scripting. Sam WordPress nie został naruszony, ale wtyczki mogą być podatne w niektórych sytuacjach.
- Ekran aktywacyjny użytkownika może być indeksowany przez wyszukiwarki w niektórych rzadkich konfiguracjach, co prowadzi do ujawnienia adresów e-mail, a w niektórych przypadkach do domyślnie generowanych haseł.
- Autorzy witryn hostowanych przez Apache mogą przesyłać specjalnie spreparowane pliki pomijające weryfikację MIME, co prowadzi do podatności na ataki typu cross-site scripting.
CERT PSE zachęca administratorów do zapoznania się z informacją o aktualizacji zabezpieczeń WordPress i zastosowanie niezbędnych poprawek.
+48 22242 1996
+48 571 207 996
cert@pse.pl 
klucz publiczny