WordPress Security Update Patches External Libraries, Maraming Mga Kahinaan

Ang koponan ng pag-develop ng WordPress ay naglabas ng WordPress 3.3.2 sa Biyernes upang matugunan ang ilang mga kahinaan sa popular na platform ng blogging pati na rin sa tatlong panlabas na mga aklatan na kasama nito sa pamamagitan ng default. > Ang bagong bersyon ng WordPress ay nag-a-update ng bundle ng Plupload na na-upload sa bersyon 1.5.4 pagkatapos ng mga tagabuo nito na naka-patch ang kahilingan sa pagpasok ng kahilingan sa cross-site na (CSRF) noong nakaraang linggo.

Plupload ay isang nababaluktot na paghawak ng library ng pag-upload na may suporta para sa iba't ibang runtimes kabilang HTML5, Flash, Silverlight, Gears at BrowserPlus.

[Karagdagang pagbabasa: Paano tanggalin ang malware mula sa iyong Windows PC]

Ilang mga bug sa seguridad ang natugunan din sa dalawang iba pang mga aklatan na tinatawag na SWFUpload at SWFObject, na ginagamit ng WordPress ang nakaraan para sa pag-upload ng file ng media at pag-embed ng Flash, ayon sa pagkakabanggit.

Kahit na ang WordPress ay hindi na gumagamit ng mga aklatan na ito, ang mga ito ay ipinadala pa rin sa platform sa pamamagitan ng default upang mapanatili ang pabalik na pagkakatugma sa mga mas lumang tema at mga plug-in na umaasa sa kanila.

Dalawang mga kahinaan sa cross-site scripting (XSS) na maaaring mapagsamantalahan kapag ang pag-click ng mga URL ay maaaring i-click, kapag ang pag-filter ng mga URL o kapag nagre-redirect ng mga user pagkatapos ng pag-post ng mga komento sa mas lumang mga browser ay natugunan din sa bagong bersyon ng WordPress, sinabi ng mga developer ng WordPress sa release mga tala.

Isang kahinaan sa paglaki ng pribilehiyo na may limitadong epekto na maaaring pinagsamantalahan ng isang administrador ng site upang i-deactivate ang mga plug-in ng network sa pagpapatakbo ng isang WordPress network sa ilalim ng particu Ang mga pangyayari ay naitakda rin.

Ang WordPress ay isang pangkaraniwang target para sa mga hacker, na nagsasamantalang mga kahinaan sa mga hindi napapanahong pag-install upang mag-imbak ng malisyosong code sa mga website na pinapatakbo ng platform. Ang Flashback malware na kamakailan-lamang na nahawaan ng higit sa 600,000 mga computer Mac ay ipinamamahagi sa pamamagitan ng mga pag-atake na nakabatay sa Web na inilunsad mula sa mga kompromiso na website ng WordPress.

Mga mananaliksik ng seguridad ipinapayo ang mga may-ari ng website upang mapanatili ang kanilang mga WordPress installation at lahat ng nauugnay na mga plug-in at mga tema na napapanahon sa lahat ng oras. Ang WordPress 3.3.2 update ay awtomatikong lilitaw sa ilalim ng menu na Mga Update sa administratibong Dashboard, ngunit maaari ring magsagawa ang mga gumagamit ng manu-manong pag-update.