همه چیز درباره آپدیت امنیتی وردپرس 6.03

تنها چند روز از بروزرسانی وردپرس نسخه 6.03 می گذرد اما سوالات زیادی را در خصوص مسایل امنیتی رفع شده برجای گذاشته است. هرچند تمام آپدیت های امنیتی مهم و قابل توجه هستند، با اینحال وردپرس نسخه 6.03 تمرکز خود را به رفع چند باگ و موارد امنیتی سطح متوسط گذاشته، که هیچکدام جای نگرانی بابت پیامدهای نسخه 6.02 ندارد. نکته قابل توجه فرارسیدن موعد انتشار وردپرس نسخه 6.1 می باشد که تا کنون 3 بسته بهینه سازی و امنیتی را در پس زمینه خود داشته است.

بروزرسانی امنیتی وردپرس نسخه 6.03

همه بروزرسانی های امنیتی مهم هستند و اکثرا موارد بسیار حیاتی را پوشش می دهند، اما خبر خوبی که برای وردپرس نسخه 6.03 وجود دارد این است که هیچ باگ امنیتی با ریسک بالا یا حیاتی در خود جای نداده و  تنها مشکلات امنیتی سطح متوسط را علامت گذاری کرده است. بالاترین سطح خطر در آپدیت امنیتی جدید وردپرس مربوط به open redirect و leaked tag  و term values in unpublished posts و authenticated XSS است.

وردپرس نسخه 6.03 با کمک بیش از 11 محقق امنیتی و 28 نفر از داوطلبان و توسعه دهندگان WordPress.org ارایه شده که هم اکنون بر روی 450 میلیون سایت وردپرسی در دسترس می باشد. موضوعی که باید در نظر داشته باشید این است که بروزرسانی وردپرس نسخه 6.03 پایانی بر پشتیبانی تا نسخه 3.7 است و از 1 دسامبر 2022 دیگر هیچ پشتیبانی شامل نسخه های پایین تر از 4.1 نخواهد شد.

از میان اقدامات امنیتی صورت گرفته در بروزرسانی جدید امنیتی، دو باگ دارای بالاترین سطح خطر هستند که هیچکدام نیازی به مجوز مدیر و کاربر سایت نداشته و می توانند به عنوان حملاتی علیه تنظیمات پیش فرض وردپرس مورد استفاده قرار گیرند. البته در این مورد بخصوص، یک حمله موفق تاثیر بسیار محدودی خواهد داشت زیرا تغییر مسیرهای باز مستلزم فریب کاربر است. هکر می تواند یک اقدام را در مسیر کارهای روتین شما جای گذاری و شخص را در حالیکه خبر ندارد، تبدیل به یک مسیر نفوذ کند.

هشدارهایی که بالاترین سطح خطر رفع شده اند:

Open redirect in wp_nonce_ays
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N — 4.3 (Medium)

REST endpoint could return terms or tags in non-public posts
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N — 5.3 (Medium)

می رسیم به 2 مشکل از این دسته که مربوط به مسایل امنیتی wp-mail.php هستند. این باگ ها فقط سایت های وردپرس را تحت تاثیر قرار می دهند که در آنها امکان ارسال پست از طریق ایمیل فعال شده باشد. اگر در سایت شما امکان ارسال پست ایمیل فعال است، حتما بروزرسانی 6.03 را انجام دهید. باگ امنیتی ایمیل شامل لو رفتن آدرس‌های ایمیل و اجازه دادن به نویسنده هکر برای ارسال HTML دلخواه در پست‌های مبتنی بر ایمیل است.

هشدارهایی که بالاترین سطح خطر رفع شده اند:

Stored XSS via wp-mail.php
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:N — 3.7 (Low)

Senders email address can be exposed via wp-mail.php
CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:N/A:N — 3.1 (Low)

سایر باگ های رفع شده مربوط به افزایش سطح امنیتی در گوتنبرگ و غیره است که احتمالا آخرین نسخه تا قبل از انتشار ورژن اصلی 6.1 باشد. آپدیت بعدی وردپرس در تاریخ 1 نوامبر 2022 برابر با 10 آبان 1401 بطور سراسری در دسترس خواهد بود.