WordPress выпустил обновление, содержащее исправления ошибок и исправления безопасности для устранения трех уязвимостей, оцененных как серьезные и средние.
Обновления могли быть загружены и установлены автоматически, поэтому важно проверить, действительно ли веб-сайт обновлен до версии 6.02 и все ли работает нормально.
Исправление ошибок
Обновление содержит двенадцать исправлений для ядра WordPress и пять для редактора блоков.
Один заметное изменение — это улучшение каталога шаблонов, которое предназначено для того, чтобы помочь авторам тем обслуживать только шаблоны, связанные с их темами.
Цель этого изменения — сделать его более привлекательным для авторов тем, чтобы они использовали его, и предоставить издателям лучший пользовательский интерфейс.
«Многие авторы тем хотят, чтобы все основные и удаленные шаблоны были отключены по умолчанию с помощью remove_theme_support(‘core-block-patterns’). Это гарантирует, что они обслуживают клиентов/клиентов только по шаблонам, относящимся к их теме.
Это изменение сделает каталог шаблонов более привлекательным/удобным с точки зрения автора темы».
Три исправления безопасности
Первая уязвимость описывается как уязвимость SQL Injection высокой степени серьезности.
Уязвимость SQL-инъекций позволяет злоумышленнику запрашивать базу данных, лежащую в основе веб-сайта, и добавлять, просматривать, удалять или изменять конфиденциальные данные.
Согласно отчету Wordfence, WordPress 6.02 исправляет серьезную уязвимость, связанную с SQL-инъекциями, но для выполнения этой уязвимости требуются права администратора.
Wordfence описал эту уязвимость:
«Функциональность WordPress Link, ранее известная как «Закладки», больше не включена по умолчанию в новых установках WordPress.
На старых сайтах эта функциональность все еще может быть включена, а это означает, что миллионы устаревших сайтов потенциально уязвимы, даже если они работают под управлением более новых версий WordPress.
К счастью, мы обнаружили, что уязвимость требует прав администратора и ее трудно использовать в конфигурации по умолчанию».
Вторая и третья уязвимости описываются как Stored Cross-Site Scripting, одна из которых, как сообщается, не влияет на «подавляющее» большинство издателей WordPress.
Момент Обновлена библиотека дат JavaScript
Еще одна уязвимость была исправлена, но она не была частью ядра WordPress. Эта уязвимость относится к библиотеке данных JavaScript под названием Moment, которую использует WordPress.
Уязвимости в библиотеке JavaScript был присвоен номер CVE, и подробности доступны в Национальной базе данных уязвимостей правительства США. это задокументировано как исправление ошибки на Вордпресс.
Что делать
Обновление должно автоматически распространяться на сайты с версии 3.7.
Может быть полезно проверить, правильно ли работает сайт и нет ли конфликтов с текущей темой и установленными плагинами.
Цитаты
WordPress Core 6.0.2 Security & Maintenance Release — что вам нужно знать
Разрешить удаленную регистрацию шаблонов в theme.json, если основные шаблоны отключены..
Избранное изображение Shutterstock/Krakeimages.com
