Разработчиками WordPress выпущено обновление популярной платформы под номером 4.3.1, исправляющее две уязвимости межсайтового скриптинга, а также брешь, которая дает возможность повысить привилегии. В версии WordPress 4.3.1 также исправлены 26 ошибок.
Самые опасные из устраненных уязвимостей связаны с функцией Shortcode. Шорткодами называются наборы простейших функций, которые создают микрокоды, использующиеся для различных целей в редакторе WordPress, в файлах шаблона и в виджетах. По умолчанию в платформе поддерживается ряд коротких кодов. Это дает возможность автоматически внедрять видеофайлы в сайт WordPress.
Уязвимости были найдены экспертами из компании Check Point Нетанелом Рубином и Шахаром Талом, еще несколько месяцев назад сообщившими о них разработчикам WordPress. Используя одну из уязвимостей межсайтового скриптинга, злоумышленник мог применить процесс обработки коротких кодов, чтобы внедрить произвольный код JavaScript, выполняющийся при отображении страницы WordPress.
С помощью другой уязвимости пользователи могут публиковать сообщения без необходимых разрешений . Использование третьей бреши дает возможность повышать привилегии, вследствие чего сообщения, перемещенные в корзину, могут быть восстановлены и отредактированы любым пользователем.
Разработчики WordPress настоятельно просят пользователей провести обновление устаревших версий платформы.