Несколько часов назад команда WordPress выпустила критическое обновление ядра. В версии 4.1.2 устранена уязвимость XSS, позволяющая злоумышленнику получить доступ к сайту на WordPress.

Данное обновление является обязательным для всех пользователей WordPress. Разработчики также подготовили релизы для предыдущих веток ядра, которые поддерживают фоновые обновления: 3.7.6, 3.8.6, 3.9.4, и 4.0.2. Это говорит о том, что данная XSS уязвимость является более чем серьезной.

WordPress 4.1.2

Помимо XSS уязвимости в версию 4.1.2 вошли также несколько менее критических обновлений, связанных с SQL инъекцией в некоторых плагинах, с возможностью загружать файлы с небезопасным наименованием, и с XSS атакой методом социального инжиниринга.

На многих WordPress сайтах уже сработало автоматическое фоновые обновления ядра, и администраторы уже получили соответствующие уведомления. Если ваш сайт по какой-либо причине еще не обновился до последней версии соответствующей ветки WordPress, рекомендуем немедленно выполнить обновление вручную в разделе Консоль → Обновления.

Список всех изменений в версии 4.1.2 вы (а также злоумышленники) можете найти в баг-трэкере WordPress.

Обновление: Вышло обновление ядра 4.1.3, закрывающее проблему с кодировкой cp1251 таблиц БД. Проблема появилась в 4.1.2. Актуально для русскоговорящих пользователей. #