Η WordPress μόλις κυκλοφόρησε την ενημερωμένη έκδοση ασφαλείας 4.5.2. Οι σημειώσεις έκδοσης της WοrdPress 4.5.2 αναφέρουν ότι, η προηγούμενη έκδοση 4.5.1 αλλά και οι παλαιότερες επηρεάζονται από μερικές ευπάθειες μέσω του Plupload, μια βιβλιοθήκη τρίτων που χρησιμοποιεί η WοrdPress για τη μεταφόρτωση αρχείων.
Οι εκδόσεις WordPress 4.2 έως και 4.5.1 είναι ευάλωτες σε reflected XSS που χρησιμοποιούν ειδικά κατασκευασμένα URIs μέσω του MediaElement.js, τη βιβλιοθήκη τρίτων που χρησιμοποιείται από συσκευές αναπαραγωγής πολυμέσων.
Το MediaElement.js και το Plupload κυκλοφορήσαν επίσης ενημερώσεις για τον καθορισμό αυτών των ζητημάτων.
Και τα δύο θέματα αναλύθηκαν και αναφέρθηκαν από τον Mario Heiderich, τον Masato Kinugawa, και τον Filedescriptor από το Cure53.
“Χάρη στην ομάδα με την υπεύθυνη αποκάλυψη, στις ομάδες Plupload και MediaElement.js και τη στενή συνεργασία μαζί μας διορθώσαμε άμεσα αυτά τα ζητήματα” αναφέρει η WοrdPress.
Αρχεία που ενημερώθηκαν:
/wp-includes/js/plupload/plupload.flash.swf /wp-includes/js/mediaelement/flashmediaelement.swf /wp-includes/js/mediaelement/mediaelement-and-player.min.js /wp-includes/version.php /wp-includes/script-loader.php /readme.html /wp-admin/about.php