Во всех версиях Wordpress, начиная с 4.7.1 и младше, найдено три уязвимости. На текущий момент вышло срочное обновление Wordpress 4.7.2, закрывающее дыру безопасности. Рекомендуется обновить свои сайты незамедлительно.
Суммарно об уязвимостях в Wordpress 4.7.1 и младше:
- Пользовательский интерфейс для назначения таксономии в Press This отображался пользователям, не имеющим соответствующих прав;
- Уязвимоть
WP_Query
к SQL инъекции (SQLi) при прохождении небезопасных данных. Ядро Wordpress напрямую не содержит уязвимости, но данная защита была добавлена с целью предотвращения плагинов и шаблонов от уязвимости; - Уявимость кросс-сайтового скриптинга (XSS), обнаруженная в таблице со списком постов.
Вам нужно скачать Wordpress 4.7.2 или обновить движок через Панель управления > Обновления и просто нажать на кнопку "Обновить сейчас". Сайты с поддержкой автоматического обновления уже должны обновить Wordpress до версии 4.7.2.