WordPress 4.7.5 đã được phát hành hôm nay với các bản sửa lỗi cho sáu vấn đề bảo mật. Nếu bạn quản lý nhiều trang web, bạn có thể đã thấy thông báo cập nhật tự động đến địa chỉ email của mình. Phiên bản bảo mật dành cho tất cả các phiên bản trước và WordPress khuyến nghị cập nhật ngay lập tức. Các trang web có phiên bản thấp hơn 3,7, bạn sẽ cần cập nhật theo cách thủ công.

Các lỗ hổng được sửa chữa trên phiên bản 4.7.5 đã được tiết lộ một cách có trách nhiệm cho nhóm bảo mật WordPress bởi năm nhóm khác nhau được ghi nhận trong bài đăng. Chúng bao gồm những điều sau:

  • Xác nhận chuyển hướng không đầy đủ trong Lớp HTTP
  • Xử lý sai các giá trị metadonnées đăng trong XML-RPC API
  • Thiếu xác minh khả năng cho meta-données sau trong API XML-RPC
  • Lỗ hổng Cross Site Request Forgery (CRSF) được phát hiện trong hộp thoại thông tin xác thực hệ thống tệp
  • Một lỗ hổng kịch bản chéo trang (XSS) đã được phát hiện khi cố tải xuống các tệp rất lớn
  • Một lỗ hổng tập lệnh (XSS) giữa các trang web đã được phát hiện có liên quan đến "Customizer"

Một số báo cáo về lỗ hổng bảo mật đến từ các nhà nghiên cứu bảo mật trên "HackerOne". Trong một cuộc phỏng vấn gần đây với HackerOne, trưởng nhóm bảo mật WordPress Aaron Campbell cho biết nhóm đã thấy sự gia tăng về báo cáo kể từ khi ra mắt công khai chương trình tiền thưởng lỗi của mình.

« Số lượng báo cáo tăng mạnh như dự kiến, nhưng nhóm của chúng tôi thực sự không phải xử lý bất kỳ báo cáo không hợp lệ nào trước khi công bố chương trình." , nói Campbell. " Sự năng động của hệ thống Hacker Reputation lần đầu tiên thực sự phát huy tác dụng và thực sự thú vị khi hiểu cách hoạt động tốt nhất ”.

Nếu WordPress tiếp tục duy trì khối lượng báo cáo tương tự trên tài khoản HackerOne mới, người dùng có thể thấy các bản phát hành bảo mật thường xuyên hơn trong tương lai.

WordPress 4.7.5 cũng bao gồm một số bản sửa lỗi bảo trì. Xem danh sách đầy đủ các thay đổi để biết thêm chi tiết.