A versão 5.4.2 do WordPress Core foi lançada. Como esta versão está marcada como uma atualização combinada de segurança e correção de bugs, recomendamos a atualização o mais breve possível. Com isso dito, a maioria das correções de segurança são para vulnerabilidades que exigiriam circunstâncias específicas para serem exploradas. Ao todo, esta versão contém 6 correções de segurança, das quais 3 são para vulnerabilidades XSS (Cross-Site Scripting).
Os problemas
Um problema de XSS em que usuários autenticados com privilégios baixos podem adicionar JavaScript a postagens no editor de blocos
Essa falha possibilita a um invasor injetar JavaScript em uma postagem, manipulando os atributos dos iFrames incorporados. Isso pode ser explorado por usuários com a função edit_posts, ou seja, usuários com a função de Colaborador ou superior na maioria das configurações.
Um problema de XSS em que usuários autenticados com permissões de upload podem adicionar JavaScript a arquivos de mídia
Essa falha possibilita a um invasor injetar JavaScript no campo “Descrição” de um arquivo de mídia carregado. Isso poderia ser explorado por usuários com a função upload_files, ou seja, usuários com a função Autor ou superior na maioria das configurações.
Um problema XSS autenticado por meio de upload de temas
Essa falha possibilitado a um invasor injetar JavaScript no nome da folha de estilos de um tema quebrado, que seria executado se outro usuário visitasse a página Aparência-> Temas no site. Isso poderia ser explorado por usuários com os recursos install_themes ou edit_themes, que estão disponíveis apenas para administradores na maioria das configurações.
O que fazer para resolver isso?
Atualizar seu site para a versão 5.4.2! Essas vulnerabilidades parece explorável apenas em circunstâncias limitadas ou por usuários confiáveis, mas recomendamos a atualização o mais rápido possível do WordPress do seu site. Os invasores podem encontrar maneiras de explorá-los mais facilmente, ou os pesquisadores que descobriram essas vulnerabilidades podem publicar o código de Prova de Conceito que permite uma exploração mais simples. Esta é uma versão secundária do WordPress, portanto, a maioria dos sites será atualizada automaticamente para a nova versão.
Conclusão
Agradecemos à equipe do WordPress e aos pesquisadores que descobriram e relataram com responsabilidade essas vulnerabilidades por tornar o WordPress mais seguro para todos.
Você pode encontrar o anúncio oficial do lançamento do WP 5.4.2 nesta página. Se você tiver alguma dúvida ou comentário, não hesite em publicá-las abaixo e faremos o possível para respondê-las em tempo hábil. Se você é um dos pesquisadores cujo trabalho está incluído acima e gostaria de fornecer detalhes ou correções adicionais, agradecemos seus comentários.
Se você quer entender melhor a importância de se manter o WordPress atualizado, clique aqui e leia essa matéria falando sobre o assunto.
