Dnes v noci vyšla nová aktualizace WordPressu, tentokrát s označením 4.2.2. Jedná se o bezpečnostní aktualizaci a je důrazně doporučeno ji provést okamžitě.
WordPress 4.2.2 opravuje tyto dvě závažné bezpečnostní chyby:
- Písmo Genericons, které je použito ve spoustě populárních šablonách a pluginech obsahuje HTML soubor zranitelný při útoku pomocí cross-site scripting (XSS). Všechny pluginy a šablony umístěné na WordPress.org (včetně výchozí šablony Twenty Fifteen) byly dnes aktualizovány a tento problémový a nepotřebný soubor byl odstraněn. WordPress 4.2.2 aktivně prohledává složku wp-content a hledá tento soubor, který v případě nálezu smaže.
- WordPress verze 4.2 a starší jsou napadnutelné útokem pomocí cross-site scripting (XSS). Aktualizace také obsahuje kompletní opravu této chyby.
Cross-site scripting (XSS) je metoda narušení WWW stránek využitím bezpečnostních chyb ve skriptech (především neošetřené vstupy). Útočník díky těmto chybám v zabezpečení webové aplikace dokáže do stránek podstrčit svůj vlastní javascriptový kód, což může využít buď pouze k poškození vzhledu stránky, jejímu znefunkčnění, získávání citlivých údajů návštěvníků stránek nebo obcházení bezpečnostních prvků aplikace.
Nová aktualizace také vylepšuje odolnost proti možnému XSS při použití vizuálního editoru.
Dále pak WordPress 4.2.2 obsahuje 13 oprav chyb obsažených ve verzi 4.2. Více informací naleznete v detailní zprávě o nové verzi WordPressu.