WordPress 4.7.5 släpptes idag med korrigeringar av sex säkerhetsfrågor. Om du hanterar flera webbplatser kan du ha sett automatiska uppdateringsaviseringar landa på dina e-postadresser. Säkerhetsversionen gäller alla tidigare versioner och WordPress rekommenderar en omedelbar uppdatering. Webbplatser med versioner lägre än 3,7 måste du uppdatera manuellt.

Sårbarheterna som fixades i version 4.7.5 avslöjades på ett ansvarsfullt sätt för WordPress-säkerhetsteamet av fem olika team som krediterats i inlägget. Dessa inkluderar följande:

  • Otillräcklig omdirigerings validering i HTTP-klass
  • Felaktig hantering av metavärdenuppgifter inlägg i XML-RPC API
  • Brist på kapacitetsverifiering för meta-uppgifter senare i XML-RPC API
  • CRSF-sårbarhet (Cross Site Request Forgery) upptäcktes i dialogrutan för autentiseringsuppgifter för filsystem
  • En sårbarhet på flera olika webbplatser (XSS) upptäcktes när man försökte ladda ner mycket stora filer
  • En skriptsårbarhet (XSS) mellan webbplatser upptäcktes i förhållande till "Customizer"

Flera av sårbarhetsrapporterna kommer från säkerhetsforskare på "HackerOne". I en ny intervju med HackerOne sa WordPress-säkerhetslagsledaren Aaron Campbell att teamet har sett en ökad rapportering sedan den offentliga lanseringen av sitt bug-bounty-program.

« Ökningen av rapportvolymen var drastisk som förväntat, men vårt team behövde verkligen inte hantera några ogiltiga rapporter innan programmet offentliggjordes.", sa Campbell. " Dynamiken i Hacker Reputation-systemet kom verkligen till spel för första gången, och det var riktigt intressant att förstå hur man fungerar bäst ”.

Om WordPress fortsätter att ha samma rapporteringsvolym på sitt nya HackerOne-konto kan användare se frekventare säkerhetsreleaser i framtiden.

WordPress 4.7.5 innehåller också en handfull underhållsfixer. Se den kompletta listan med ändringar för mer information.