WordPress выпускает обновление безопасности, за которым следует исправление ошибки.

от

WordPress недавно выпустил обновление безопасности 6.9.2 для исправления нескольких уязвимостей в программном обеспечении. Однако, это обновление непреднамеренно привело к сбою некоторых веб-сайтов с пустым белым экраном. WordPress оперативно отреагировал, выпустив еще одно обновление для исправления проблемы, представленной в версии 6.9.2.

Купил акции на все деньги, а они упали? А Илон Маск снова написал твит? Знакомо. У нас тут клуб тех, кто пытается понять этот цирк и не сойти с ума.

Купить на падении (нет)

Wordfence, компания, специализирующаяся на безопасности WordPress, опубликовала информацию о четырех уязвимостях в системе безопасности, классифицировав их как умеренно серьезные. WordPress.org опубликовал полный список из десяти уязвимостей, включая одну, возникшую из сторонней PHP-библиотеки.

Хронология сбоев WordPress-сайтов

После недавнего обновления безопасности некоторые пользователи WordPress столкнулись с падениями сайтов. В сети люди начали задаваться вопросом, не является ли причиной проблема с самим обновлением, при этом некоторые даже предполагали связь с проблемой кодирования, известной как ‘vibe coding’. Вскоре после выхода обновления пользователи также начали сообщать о проблемах с работой своих сайтов на официальных форумах поддержки WordPress.

WordPress 6.9.2 с темой Crio, обновлён до последней версии.»

Вскоре другие пользователи начали сообщать о тех же проблемах. В конечном итоге, ключевой разработчик ответил, объяснив, что проблема возникла из-за определенных тем WordPress и предложил протестировать с другой темой. Семь часов после первого сообщения, автор оригинального поста обновил тему, чтобы сообщить, что WordPress выпустил исправление – версию 6.9.3 – для проблем, представленных в версии 6.9.2. Проблемы были вызваны тем, как были построены некоторые темы, и не были связаны с самим обновлением безопасности.

Официальный ответ от WordPress

Недавние сбои сайта, похоже, вызваны некоторыми темами, загружающими файлы необычным образом. Эти темы использовали метод, который официально не поддерживался, что привело к конфликту с недавним обновлением. Разработчики WordPress быстро выпустили ещё одно обновление для исправления проблемы, хотя проблема заключалась в самих темах, а не в WordPress.

Это обновление исправляет проблему, которая затронула определенные темы веб-сайта. В частности, оно решает проблему с тем, как эти темы загружают файлы шаблонов, которая была введена в предыдущем обновлении безопасности (версия 6.9.2). Проблема возникала в темах, которые используют конкретный, менее распространенный метод обработки путей к файлам.

Хотя это и не стандартный способ загрузки шаблонов в WordPress, недавняя проблема вызвала сбои в работе некоторых веб-сайтов. Команда WordPress выпускает версию 6.9.3, чтобы быстро это исправить. Если ваш сайт использует одну из затронутых тем, пожалуйста, обновитесь до 6.9.3, чтобы восстановить работу фронтенда вашего веб-сайта.

Wordfence Advisory

Wordfence сообщила об информации о четырех уязвимостях в системе безопасности, оцененных от 4.3 до 6.4 из 10 по степени критичности (где 10 — наиболее критичная). Чтобы использовать эти уязвимости, злоумышленнику необходимо войти в систему как пользователь с правами от базового подписчика до полного администратора.

Список из четырех уязвимостей, описанных Wordfence:

  1. Оценка серьезности CVSS 4.3
    WordPress 6.9 – 6.9.1 – Отсутствие авторизации для создания произвольных заметок через REST API пользователями с ролью (Subscriber+).
  2. Оценка серьезности CVSS 4.3
    WordPress <= 6.9.1 – Отсутствие авторизации для аутентифицированных (Автор+) раскрытия конфиденциальной информации через AJAX-эндпоинт query-attachments
  3. Оценка серьезности CVSS 4.4
    WordPress <= 6.9.1 – Аутентифицированный (Администратор+) Сохраненный Межсайтовый Скриптинг через Элементы Меню Навигации
  4. Уровень серьезности CVSS 6,5
    WordPress <= 6.9.1 – внедрение аутентифицированного (Автор+) внешнего объекта XML через загрузку носителя библиотеки getID3

Предупреждение Wordfence о наиболее серьезной уязвимости, оцененной в 6.5/10, описывало недостаток:

В WordPress обнаружена уязвимость, которая может позволить злоумышленникам внедрять вредоносный код через XML-файлы. Это влияет на все версии WordPress до 6.9.1 включительно. Проблема заключается во встроенной библиотеке под названием getID3, которая настроена таким образом, что позволяет ей обрабатывать XML-сущности, создавая потенциальную уязвимость.

WordPress может быть уязвим к проблемам безопасности при обработке определенных медиафайлов (например, WAV, RIFF и AVI), содержащих XML-информацию. Компонент под названием getID3, используемый для чтения этой информации, может быть использован злоумышленниками для получения доступа к файлам на сервере, к которым у них не должно быть доступа. В частности, злоумышленники с правами автора потенциально могут читать любой файл на сервере, используя специальную технику, связанную с тем, как обрабатываются XML-данные.

Это полный список из десяти уязвимостей:

  1. Проблема Blind SSRF
  2. Уязвимость PoP-цепи в HTML API и Block Registry
  3. Уязвимость к DoS через регулярные выражения в числовых ссылках на символы.
  4. Сохранённая XSS в навигационных меню
  5. Обход авторизации в AJAX-запросах с вложениями
  6. Сохраненная XSS через директиву data-wp-bind
  7. XSS, позволяющая перезаписывать клиентские шаблоны в админ-панели.
  8. Уязвимость обхода пути в PclZip
  9. Обход авторизации в функции Notes
  10. XXE в внешней библиотеке getID3

Рекомендации

Степень серьезности оставшихся шести уязвимостей пока не ясна, но те, которые были выявлены Wordfence, считались умеренно серьезными и требовали от злоумышленника сначала получить доступ как пользователь. Тем не менее, WordPress рекомендует всем владельцам веб-сайтов немедленно обновить свои сайты.

Смотрите также

2026-03-11 12:40