Последнее обновление WordPress закрывает 7 уязвимостей

Версия 3.5.2, выпущенная в конце прошлой недели, включает в себя семь исправления безопасности и некоторые дополнительные исправления. US-CERT призывает пользователей обновить WordPress как можно скорее.

Вот эти 7 исправлений безопасности:

• Запрос, который мог быть использован через HTTP API. Атакующих мог использовать вредоностный URL в качестве эксплоита для сервера
• Повышение привелегий, что позволяло переназначить авторство из-за недостаточной проверки привилегий пользователя
• XSS в SWFUpload, Flash и Javascript загрузочной службе. Патч теперь позволяет загружать только из того же домена
• Отказ в обслуживании в постах, защищённых паролем. Атакующих мог положить сайт, использовав вредоностные wp-postpass cookies.
• Контент-уязвимость через Flash апплет в TinyMCE
• XSS срабатывало при загрузки мультимедиа-файлов из-за недостаточной обработки входных данных
• Полный путь раскрытия (FPD) уязвимость возникала во время загрузки файла, если директория недоступна для записи. Возвращаемое сообщения об ошибке содержало в себе полный путь к каталогу.

Не стоит забывать, что помимо обновления самого WordPress, нужно обновлять все установленные плагины. Возможно именно в них существуют опасные дыры в безопаснсоти.