O WordPress v4.9.7 foi disponibilizado hoje para download e inclui a correção para a falha de segurança batizada como “Authenticated Arbitrary File Deletion”.
WordPress v4.9.7 corrige falha de segurança e outros bugs
A vulnerabilidade reside em uma das principais funções do WordPress que é executada em segundo plano quando um usuário apaga permanentemente a miniatura de uma imagem enviada.
Pesquisadores de segurança descobriram que a função para apagar a miniatura pode ser explorada para permitir que um usuário com privilégios de autor apague qualquer outro arquivo que deveria ser acessível apenas para os administradores do site ou do servidor.
Usando esta falha um atacante poderia apagar arquivos críticos como o “.htaccess” do servidor, que normalmente contém configurações relacionadas à segurança.
Ele também poderia apagar o arquivo “wp-config.php”, o que permitiria que o atacante reconfigurasse e tomasse completamente o controle do site.
Um vídeo demonstrando a falha pode ser visto abaixo:
Além da falha mencionada acima, o WordPress v4.9.7 também traz correções para outros 17 bugs. Um deles causava um “erro fatal” na plataforma em certos cenários.
O post WordPress v4.9.7 corrige falha de segurança e outros bugs apareceu primeiro em BABOO.
Artigo original:
www.baboo.com.br