Aktualizacje bezpieczeństwa dla WordPress i Drupal

3 lutego, 2017

Dwa najpopularniejsze systemy zarządzania treścią (CMS), WordPress i Drupal doczekały się w ostatnich dniach aktualizacji rdzeni oraz modułów.

W przypadku tego pierwszego, wersja 4.7.2 naprawia problemy związane z API REST. WordPress w wersjach 4.7.0 i 4.7.1 zawierał podatność umożliwiającą nieautoryzowane podniesienie uprawnień i edycję (w tym i usuwanie) dowolnego artykułu na stronie. Warto podkreślić, że domyślnie włączony API REST znajduje się tylko w wersji 4.7.0 i 4.7.1, dlatego zalecamy aktualizację tych rdzeni do 4.7.2 tak szybko, jak to tylko możliwe. Przy okazji naprawiono także podatność klasy WP_Query na SQL Injection, oraz tabeli z listą postów na Cross-site scripting (XSS). Skuteczne wykonanie tego ataku pozwoli agresorowi na wykonanie różnorodnych działań, w tym kradzieży tokenów sesji administratorów lub wykonanie kodu z ich uprawnieniami.

Aktualizacje bezpieczeństwa otrzymał również stabilny jak skała Drupal, chociaż trzeba szczerze przyznać, że wersja 7.5.3 nie zawierała krytycznych podatności. W wersji 7.54 nie wprowadzono żadnych zmian w plikach .htaccess, web.config, robots.txt i default_settings.php, więc dostosowanie ich do aktualnych wymagań odpowiedzilanych za prawidłowe funkcjonowanie strony nie jest konieczne. Oczywiście aktualizację również zalecamy.

Czy ten artykuł był pomocny?

Oceniono: 0 razy

Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

guest
2 komentarzy
najstarszy
najnowszy oceniany
Inline Feedbacks
View all comments

Zapisz się na newsletter

Informacje o cyberbezpieczeństwie prosto na skrzynkę pocztową!

Dodatkowo otrzymasz poradnik „Jak bezpiecznie funkcjonować w cyfrowym świecie”

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]