WordPress 4.7.2 – nečekaná bezpečnostní aktualizace

Po dvou týdnech od poslední opravné verze se poměrně nečekaně objevil nový WordPress 4.7.2, který tentokrát opravuje pouze bezpečnostní chyby.

Nová verze bohužel neobsahuje opravy některých chyb, které byly způsobeny WordPressem 4.7, či dokonce předchozí opravnou verzí :-) Pozor tedy zejména na nahrávání některých souborů (např. s koncovkou .docx či .epub), které občas nemusí správně fungovat.

Pojďme se podívat na jednotlivé bezpečnostní problémy:

  • Pokud používáte šikovný nástroj “Kliknout a publikovat” (podrobnosti naleznete v menu Nástroje), který umožňuje automaticky načítat obsah zvoleného webu a použít ho pro snadné publikování vlastních příspěvků, tak mohli uživatelé v jeho rozhraní vidět možnost doplňovat položky taxonomií (např. rubriky a štítky), i když neměli dostatečná práva k jejich přiřazování (oprava).
  • WP_Query() mohla být zneužita v rámci chyby známé jako SQL injection, a to v případě použití některých speciálních znaků. Samotný WordPress sice nebyl tímto problémem nijak ovlivněn, ale oprava zamezila nechtěnému použití ze strany pluginů a šablon a spočívala v doplnění funkcí esc_sql() a wpdb::prepare.
  • Na administrační stránce s přehledem příspěvků byla objevena skrytá bezpečnostní díra v podobě cross-site scripting (XSS), která se mohla projevit v případě, kdy někdo používal detailní zobrazení (nepříliš známé, musíte ho zapnout na záložce “Nastavení zobrazených informací”). V rámci tohoto zobrazení se objevuje i stručný obsah příspěvku, který nebyl bohužel dostatečně ošetřen a oprava spočívala jako obvykle v doplnění funkce esc_html().

Další opravná verze se patrně objeví během února. A protože se bezpečnostní chyby vztahují i na všechny starší verze, tak došlo k vydání aktualizací pro všechny podporované verze, tedy konkrétně WordPress 4.6.3, 4.5.6, 4.4.7, 4.3.8, 4.2.12, 4.1.15, 4.0.15, 3.9.16, 3.8.18 a 3.7.18.

Pokud jste narazili na nějaký problém, tak se neváhejte ozvat v místním fóru.

Nejoblíbenější hosting pro WordPress WEDOS.cz

3 thoughts on “WordPress 4.7.2 – nečekaná bezpečnostní aktualizace”

  1. Musela to byť fakt celom závažná chyba v tom wp, pretože od google searche consoly mi prišli emaily že mám chbovú verziu s wp s bezpečnostnou dierou a treba to čo najskôr aktualizovať. A pritom aktualizácia už prebehla pred niekoľkými dňami. Asi je iba searche console spomalená.

  2. Dobrý den, Vážení.
    Prosím o pomoc nefunguje mi webová stránka a taky přistup do svého účtu.
    Na stránce mi píše jen:Parse error: syntax error, unexpected ‘2013’ (T_LNUMBER) in /data/web/virtuals/126824/virtual/www/wp-content/themes/twentythirteen/functions.php on line 31
    Děkuji moc

  3. Dobrý den,prosím o pomoc. Nemůžu se přihlásit na můj web….hlásí mi to chybu: Upozornění : Nelze měnit informace o záhlaví – záhlaví již odeslané (výstup byl spuštěn na adrese /data/web/virtuals/140489/virtual/www/domains/tiande-dotekprirody.cz/wp-content/themes/education-hub/inc/hook/ custom.php: 1) v /data/web/virtuals/140489/virtual/www/domains/tiande-dotekprirody.cz/wp-includes/pluggable.php on line 1174…. Co s tím? Děkuji moc

Napsat komentář

Vaše emailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *