أصدر WordPress تحديثًا يحتوي على إصلاحات للأخطاء وإصلاحات أمنية لمعالجة ثلاث ثغرات تم تصنيفها على أنها شديدة إلى متوسطة.
ربما تم تنزيل التحديثات وتثبيتها تلقائيًا ، لذلك من الضروري التحقق مما إذا كان موقع الويب قد تم تحديثه إلى الإصدار 6.02 وما إذا كان كل شيء لا يزال يعمل بشكل طبيعي.
اصلاحات الشوائب
يحتوي التحديث على اثني عشر إصلاحًا لنواة WordPress وخمسة إصلاحات لمحرر الكتلة.
أ تغيير ملحوظ يعد تحسينًا لدليل القوالب ، والذي يهدف إلى مساعدة مؤلفي السمات فقط على تقديم القوالب ذات الصلة بموضوعاتهم.
الهدف من هذا التغيير هو جعله أكثر جاذبية لمؤلفي السمات لاستخدام وتقديم تجربة مستخدم أفضل للمحررين.
“يرغب العديد من مؤلفي القوالب في تعطيل جميع الأنماط الأساسية والبعيدة افتراضيًا باستخدام remove_theme_support (” أنماط الكتلة الأساسية “). وهذا يضمن أنها تخدم فقط الأنماط ذات الصلة بموضوعهم للعملاء. / العملاء.
سيؤدي هذا التغيير إلى جعل دليل الأنماط أكثر جاذبية / قابلية للاستخدام من وجهة نظر مؤلف الموضوع.
ثلاثة إصلاحات أمنية
يتم وصف الثغرة الأمنية الأولى بأنها ثغرة أمنية عالية الخطورة لإدخال SQL.
تسمح ثغرة إدخال SQL للمهاجم بالاستعلام عن قاعدة البيانات التي تدعم موقع الويب وإضافة بيانات حساسة أو عرضها أو حذفها أو تعديلها.
وفقًا لتقرير صادر عن Wordfence ، يعمل WordPress 6.02 على إصلاح ثغرة أمنية عالية لحقن SQL ، لكن الثغرة تتطلب امتيازات إدارية للتنفيذ.
كلمات ختامية يصف هذا الضعف:
“ميزة ارتباط WordPress ، المعروفة سابقًا باسم” الإشارات المرجعية “، لم تعد ممكّنة افتراضيًا في عمليات تثبيت WordPress الجديدة.
قد تظل الميزة ممكّنة في المواقع القديمة ، مما يعني أن ملايين المواقع القديمة قد تكون عرضة للخطر ، حتى لو كانت تشغل إصدارات أحدث من WordPress.
لحسن الحظ ، وجدنا أن الثغرة الأمنية تتطلب امتيازات إدارية ويصعب استغلالها في التكوين الافتراضي.
يتم وصف الثغرات الأمنية الثانية والثالثة بأنها Scripted Cross-Site Scripting ، ولن تؤثر إحداها على الغالبية “العظمى” من ناشري WordPress.
تحديث مكتبة تاريخ JavaScript Moment
تم إصلاح ثغرة أخرى ، لكنها لم تكن جزءًا من نواة WordPress. تؤثر الثغرة الأمنية على مكتبة بيانات JavaScript تسمى Moment المستخدمة بواسطة WordPress.
تم تعيين رقم CVE للثغرة الأمنية في مكتبة JavaScript ، و التفاصيل متوفرة إلى قاعدة بيانات الضعف الوطنية لحكومة الولايات المتحدة. هو موثقة على أنها خطأ في WordPress.
ما العمل
يجب أن يتم طرح التحديث تلقائيًا على المواقع بدءًا من الإصدار 3.7.
قد يكون من المفيد التحقق مما إذا كان الموقع يعمل بشكل صحيح وأنه لا توجد تعارضات مع السمة الحالية والمكونات الإضافية المثبتة.
يقتبس
إصدار الأمان والصيانة لـ WordPress Core 6.0.2 – ما تحتاج إلى معرفته
السماح بحفظ القوالب البعيدة في theme.json عند تعطيل القوالب الرئيسية.
صورة مميزة بواسطة Shutterstock / Krakenimages.com
#ووردبريس #يصدر #تحديث #الثغرات #الأمنية
المصدر
تعليقات
إرسال تعليق