WordPress 4.7.5, altı güvenlik sorununda düzeltmelerle bugün yayınlandı. Birden fazla siteyi yönetiyorsanız, e-posta adreslerinize otomatik güncelleme bildirimlerinin geldiğini görmüş olabilirsiniz. Güvenlik sürümü önceki tüm sürümler içindir ve WordPress hemen bir güncelleme önerir. Sitelerin 3,7'den daha düşük sürümleri olduğundan, manuel olarak güncellemeniz gerekecektir.
4.7.5 sürümünde düzeltilen güvenlik açıkları, gönderide adı geçen beş farklı ekip tarafından WordPress güvenlik ekibine sorumlu bir şekilde açıklandı. Bunlar aşağıdakileri içerir:
- HTTP sınıfında yetersiz yönlendirme doğrulama
- Meta değerlerin yanlış işlenmesiveri XML-RPC API'sinde yayınla
- Meta- için yetenek doğrulama eksikliğiveri daha sonra XML-RPC API'sinde
- Dosya sistemi kimlik bilgileri iletişim kutusunda bulunan Siteler Arası İstek Sahteciliği (CRSF) güvenlik açığı
- Çok büyük dosyalar indirmeye çalışırken siteler arası komut dosyası çalıştırma (XSS) güvenlik açığı keşfedildi
- "Özelleştirici" ile bağlantılı olarak siteler arasında bir komut dosyası güvenlik açığı (XSS) keşfedildi
Güvenlik açığı raporlarının birçoğu "HackerOne" üzerindeki güvenlik araştırmacılarından geliyor. HackerOne ile yakın zamanda yapılan bir röportajda, WordPress güvenlik ekibi lideri Aaron Campbell, ekibin hata ödül programının kamuya açıklanmasından bu yana raporlamada bir artış gördüğünü söyledi.
« Rapor hacmindeki artış beklendiği gibi şiddetliydi, ancak ekibimizin programı herkese açık hale getirmeden önce herhangi bir geçersiz raporla uğraşması gerekmedi." , dedim Campbell. " Hacker Reputation sisteminin dinamikleri gerçekten ilk kez devreye girdi ve en iyi nasıl çalışılacağını anlamak gerçekten ilginçti ".
WordPress, yeni HackerOne hesabında aynı raporlama hacmini korumaya devam ederse, kullanıcılar gelecekte daha sık güvenlik sürümleri görebilir.
WordPress 4.7.5 ayrıca bir avuç bakım onarımı da içerir. Daha fazla ayrıntı için değişikliklerin tam listesine bakın.
