تیم توسعه وردپرس اعلام کرد که در بهروزرسانی ۴.۷.۲ سه آسیبپذیری ازجمله SQL Injection و XSS را رفع کردهاست.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، بهروزرسانی جدید تنها پس از دو هفته بعد از نسخه ۴.۷.۱ منتشر شد. دو هفته پیش نسخه ۴.۷.۱ برای رفع ۶۲ bug و هشت ضعف امنیتی منتشر شد. هماکنون نسخه ۴.۷.۲ در دسترس است. این یک نسخه امنیتی برای تمامی نسخههای قبلی است و تمامی استفادهکنندگان باید به سرعت بهروزرسانی مربوطه را انجام دهند.
آسیبپذیری sql injection در کلاس WP_Query موجود است و بهمنظور دسترسی به متغیرها، چکها و توابع مرتبط با هسته استفاده میشود. کارشناسی به نام Mohammad jangda این آسیبپذیری را هنگام بررسی عبور دادهها در سیستم وردپرس کشف کردهاست. ضعف فوق بهطور مستقیم هسته وردپرس را تحتتأثیر قرار نمیدهد اما ریسک اصلی متوجه پلاگینها و Theme های سامانه است و بهطور ترکیبی میتواند آنها را درگیر کند.
آسیبپذیری XSS رفع شده در این نسخه، کلاس مدیریت جداول لیست پستهای وردپرس را تحتتأثیر قرار میدهد. این آسیبپذیری نیز توسط Ian Dunn از تیم امنیتی وردپرس کشف و گزارش شدهاست.
آسیبپذیری دیگری که بهتازگی کشف شدهاست به کاربران سایت اجازه میدهد تا با استفاده از bookmarklet موجود در مرورگر، اقدام به انتشار پست در وردپرس کند. همچنین به گزارش تیم وردپرس نسخه ۴.۷ این سیستم مدیریت محتوا بیش از ۱۰ بار از ششم دسامبر ۲۰۱۶ تا کنون دانلود شدهاست.
برای مشاهده توضیحات بیشتر درباره این انتشار میتوانید لینک https://wordpress.org/news/۲۰۱۷/۰۱/wordpress-۴-۷-۲-security-release/ را مشاهدهکنید.