Tato bezpečnostní a údržbová aktualizace WordPress 6.4.3 obsahuje 5 oprav chyb v jádru, 16 oprav chyb v Blokovém editoru a 2 bezpečnostní opravy.
Protože se jedná o bezpečnostní aktualizaci, měli byste co nejdříve aktualizovat své webové stránky. WordPress 6.4.3 můžete stáhnout z WordPress.org, nebo provedete aktualizaci z prostředí své administrace. Zde kliknete na “Aktualizace” a poté na tlačítko “Aktualizovat nyní“. Pokud máte weby, které podporují automatické aktualizace na pozadí, aktualizační proces se spustí automaticky.
Co opravuje WordPress 6.4.3
WordPress 6.4.3 opravuje několik bezpečnostních problémů a 21 dalších chyb. Podrobnější informace naleznete na oficiální stránce o této verzi: WordPress 6.4.3 documentation .
Podrobný popis oprav v jádru WordPressu je popsán zde: Make WordPress Core
Chyby, které se opravily v blokovém editoru jsou naopak popsány zde, na GitHub: WordPress 6.4.3 GitHub
Opravy chyb v jádru WordPressu
- Text není zvýrazněn při úpravě stránky v nejnovějším Chrome Dev a Canary.
- Aktualizace výchozí verze PHP používané v lokálním Docker prostředí pro starší verze.
- wp-login.php: zprávy/chyby při přihlášení.
- Zastaralý kód print_emoji_styles generovaný během vkládání.
- Stránky příloh jsou zakázány pouze pro uživatele přihlášené do systému.
Oprava PHP File Upload Bypass
První záplata je určena pro bezpečnostní chybu v oblasti nahrávání PHP souborů prostřednictvím zranitelnosti v plugin installeru. Jedná se o nedostatek WordPressu, který umožňuje útočníkovi nahrát PHP soubory prostřednictvím funkce pro upload pluginů či témat. Nicméně tato zranitelnost nebyla tak závažná, jak by se mohlo zdát. Útočník totiž potřebuje oprávnění na úrovni administrátora aby takový útok provedl.
PHP Object Injection
Podle WordPressu je druhá záplata určena pro zranitelnost vzdáleného spouštění kódu RCE POP Chains, která by mohla umožnit útočníkovi vzdáleně spustit kód.
Zranitelnost RCE POP Chains obvykle znamená, že existuje chyba, která umožňuje útočníkovi prostřednictvím manipulace vstupu, který WordPress stránka deserializuje, spouštět libovolný kód přímo na serveru. Deserializace je proces, kde jsou data převedena do serializovaného formátu (jako textový řetězec). Poté jsou opět převedena do své původní podoby. Tato zranitelnost má také nízké riziko, protože i zde by útočník potřeboval oprávnění na úrovni administrátora k úspěšnému provedení útoku.
Web je vytvářen s pečlivostí k obsaženým informacím. Snažím se poskytovat kvalitní a užitečný obsah, který ostatním pomáhá, nebo je inspiruje. Pokud jste spokojeni s mou prací a chtěli byste mě podpořit, můžete to udělat prostřednictvím jednoduchých možností.
Odebírejte Newsletter
Buďte v obraze! Připojte se k odběru newsletteru a buďte první, kdo získá nejnovější informace přímo do vaší e-mailové schránky. Sledujte aktuality, exkluzivní události a inspirativní obsah, přímo na Vašem e-mailu.
Ještě že některé ty bezpečnostní chybky potřebují oprávnění na úrovni administrátora. Jinak by bylo hodně napadených webů 🙂
Ano, přesně tak. Ale to je stejně i bez těchto chyb. Je to tím, že mnoho lidí nechává své weby žít vlastním životem a není vůbec neobvyklé narazit na WordPress, který nebyl aktualizovaný i několik let. Protože dokud to funguje, mnoho lidí taková věc ani nenapadne.