WordPress va publicar una actualització que conté correccions d’errors i pedaços de seguretat per abordar tres vulnerabilitats classificades com a greus a mitjanes.
És possible que les actualitzacions s’hagin descarregat i instal·lat automàticament, per la qual cosa és essencial comprovar si el lloc web s’ha actualitzat a la 6.02 i si tot continua funcionant amb normalitat.
Reparació d’errors
L’actualització conté dotze correccions per al nucli de WordPress i cinc per a l’editor de blocs.
Un canvi notable és una millora del Directori de patrons, que pretén ajudar els autors de temes a servir només els patrons relacionats amb els seus temes.
L’objectiu d’aquest canvi és fer-lo més atractiu per als autors de temes perquè l’utilitzin i presentar una millor experiència d’usuari als editors.
“Molts autors de temes volen tenir tots els patrons bàsics i remots desactivats per defecte mitjançant remove_theme_support(‘core-block-patterns’). Això garanteix que només ofereixen patrons rellevants per al seu tema als clients/clients.
Aquest canvi farà que el directori de patrons sigui més atractiu/utilitzable des de la perspectiva de l’autor del tema.
Tres pegats de seguretat
La primera vulnerabilitat es descriu com una vulnerabilitat d’injecció SQL d’alta gravetat.
Una vulnerabilitat d’injecció SQL permet a un atacant consultar la base de dades que sustenta el lloc web i afegir, visualitzar, suprimir o modificar dades sensibles.
Segons un informe de Wordfence, WordPress 6.02 corregeix una vulnerabilitat d’injecció SQL de vulnerabilitat d’alta gravetat, però la vulnerabilitat requereix privilegis administratius per executar-se.
Wordfence descriu aquesta vulnerabilitat:
“La funcionalitat d’enllaç de WordPress, abans coneguda com a “Marcadors”, ja no està activada per defecte a les instal·lacions noves de WordPress.
És possible que els llocs antics encara tinguin la funcionalitat activada, la qual cosa significa que milions de llocs heretats són potencialment vulnerables, fins i tot si utilitzen versions més noves de WordPress.
Afortunadament, hem trobat que la vulnerabilitat requereix privilegis administratius i és difícil d’explotar en una configuració predeterminada”.
La segona i la tercera vulnerabilitat es descriuen com a scripting cross-site emmagatzemat, una de les quals s’informa que no afecta la “gran” majoria dels editors de WordPress.
Moment JavaScript Data Biblioteca actualitzada
Es va solucionar una vulnerabilitat més, però no formava part del nucli de WordPress. Aquesta vulnerabilitat és a una biblioteca de dades JavaScript anomenada Moment que utilitza WordPress.
A la vulnerabilitat de la biblioteca JavaScript se li va assignar un número CVE i els detalls estan disponibles a la National Vulnerability Database del govern dels EUA. És documentat com a correcció d’errors a WordPress.
Què fer
L’actualització s’hauria de desplegar automàticament als llocs des de la versió 3.7.
Pot ser útil verificar si el lloc funciona correctament i que no hi ha conflictes amb el tema actual i els connectors instal·lats.
Citacions
Versió de seguretat i manteniment de WordPress Core 6.0.2: el que necessiteu saber
Permet el registre de patrons remot a theme.json quan els patrons bàsics estiguin desactivats.
Imatge destacada de Shutterstock/Krakenimages.com
