שיתוף | חולשות אבטחה בליבה של וורדפרס: עדכנו מיד לגרסה 5.8.3
-
נכתב ב-7 בינואר 2022
וורדפרס שיחררה עדכון אבטחה (גרסה 5.8.3) על מנת לטפל בחולשות אבטחה משמעותיות בליבה של מערכת ניהול התוכן.עדכון הגרסה מטפל ב-4 בעיות אבטחה די רציניות שהתגלו בליבה של וורדפרס. כשמדברים על חולשות אבטחה, הבעיות נובעות בדרך כלל מתוספים שונים שלא עודכנו זמן רב, או שנמצאו בהם פרצות מסוימות. הפעם, הפרצות התגלו בקוד הבסיסי של וורדפרס עצמה, והן משפיעות על כלל אתרי הוורדפרס שאינם מעודכנים לגרסה החדשה.
פרצות האבטחה שנתגלו:
אפשרות להזרקת SQL בשל חוסר סניטציה ב-WP_Meta_Query.
הזרקת אובייקטים במולטיסייט.
חולשת XSS – דרך משתמשים מאומתים.
הזרקת SQL דרך WP_Query – גם כן בשל סניטציית קוד לא ראויה.
שלוש מתוך ארבע החולשות הללו נתגלו על ידי חוקרים שאינם שייכים לוורדפרס. הם העבירו את הנתונים לחברה בדיסקרטיות, והחולשות תוקנו בעדכון הגרסה האחרון. אם יש לכם אתר וורדפרס – עדכנו אותו במיידית לגרסה 5.8.3. אל תשכחו לגבות את האתר ומסד הנתונים לפני העדכון.
 { const baseUrl = "https://www.google.co.il/search?q=site:mitmachim.top"; const m = location.pathname.match(/^\/(topic|category)\/(\d+)/); const type = m ? m[1] : null; const id = m ? m[2] : null; let searchInput; function search(path = "") { const query = searchInput.value.trim(); if (query) { window.open(`${baseUrl}${path}%20${encodeURIComponent(query)}`, "_blank"); } } let buttons = {}; buttons.searchAll = { id: "bb-search-all", label: `חיפוש ${type ? "בכל הפורום" : ""}`, className: type ? "btn-secondary" : "btn-primary", callback: () => search(), }; if (type === "topic") { buttons.searchTopic = { label: "חיפוש בנושא זה", className: "btn-primary", callback: () => search(`/topic/${id}`), }; } else if (type === "category") { buttons.searchCategory = { label: "חיפוש בקטגוריה זו", className: "btn-primary", callback: () => search(`/category/${id}`), }; } buttons.cancel = { label: "ביטול", className: "btn-default", "data-bs-dismiss": "modal" }; const dialog = bootbox.dialog({ title: '<div style="text-align:center;"><img src="/assets/uploads/files/1625950269825-mt-google.png" width="400" alt="חיפוש בגוגל"></div>', message: '<input id="bb-inp" class="bootbox-input bootbox-input-text form-control" placeholder="הקלידו כדי לחפש בגוגל" autocomplete="off"/>', buttons, backdrop: true, show: true, onEscape: true }); dialog.on("shown.bs.modal", function () { searchInput = document.getElementById("bb-inp"); if (searchInput) { searchInput.focus(); searchInput.addEventListener("keydown", function (e) { if (e.key === "Enter") { e.preventDefault(); const query = this.value.trim(); if (query) { search(); dialog.modal("hide"); } } else if (e.key === "Escape") { e.preventDefault(); dialog.modal("hide"); } }); } const searchAllButton = document.getElementById("bb-search-all"); if (searchAllButton) { searchAllButton.title = "לחצו על אנטר כדי לחפש"; } }); })(); void 0;){kind=link}