WordPress 4.7.2 – Atualização de Segurança

WordPress 4.7.2 já está disponível. Esta é uma atualização de segurança para todas as versões anteriores e recomendamos fortemente que você atualize todos os seus sites imediatamente.

A versão 4.7.1 doWordPress e todas as anteriores estão afetadas por três questões de segurança:

  1. A interface do usuário para atribuir termos de taxonomias na funcionalidade “Publique Isso” (Press This) é mostrada para usuários que não têm permissão para isso. Relatado por David Herrera da Alley Interactive.
  2. WP_Query é vulnerável à SQL injection (SQLi)quando dados inseguros são passados. O core do WordPress não é diretamente vulnerável a esse problema, mas forçamos o código para prevenir que plugins e temas possam causar acidentalmente essa vulnerabilidade. Relatado por Mo Jangda (batmoo).
  3. Vulnerabilidade cross-site scripting (XSS) foi descoberta na tabela de listagem de posts. Reportado por Ian Dunn, do WordPress Security Team.
  4. Vulnerabilidade de Escalonamento de Privilégio Não Autenticado foi descoberta em um endpoint da REST API . Reportado por Marc-Alexandre Montpas, da Sucuri Security. *

Obrigado aos que reportaram estes problemas praticando a divulgação responsável em todo os casos.

Baixe o WordPress 4.7.2 ou aventure-se através do Dashboard → Atualizações simplemente clicando no botão “Atualizar Agora”. Sites com atualização automativa ativada já começaram e serem atualizados para esta nova versão.

Obrigado a todos que colaboraram com estas correções!

Atualização: Uma séria vulnerabilidade adicional foi corrigida nesta versão mas sua divulgação pública foi adiada e divulgada dias depois por motivos de segurança. Para mais informações sobre essa vulnerabilidade, passos para a mitigar e explicação do porque ela foi adiada, você pode ler o post original Disclosure of Additional Security Fix in WordPress 4.7.2 (em inglês) como fonte correta sobre o assunto. Trazemos abaixo a tradução desta explicação.

Correção adicional no WordPress 4.7.2

Além das 3 vulnerabilidades de segurança mencionadas na publicação original da atualização, as versões 4.7 e 4.7.1 possuíam mais uma vulnerabilidade, cuja divulgação fora adiada. Havia uma Vulnerabilidade de Escalonamento de Privilégio Não Autenticado em um endpoint da REST API. Versões anteriores do WordPress, mesmo as que usam o plugin REST API, não possuem essa vulnerabilidade.

Acreditamos que transparência é de interesse público. É nossa posição que falhas de segurança sejam sempre discutidas. Nesse caso, adiamos intencionalmente a divulgação dessa falha por uma semana para garantir a segurança de milhões de sites que utilizam o WordPress.

Em 20 de Janeiro, Sucuri nos alertou sobre uma vulnerabilidade descoberta por um de seus pesquisadores de segurança, Marc-Alexandre Montpas. O time de segurança começou a avaliar o problema e trabalhar numa solução. Enquanto uma primeira correção foi criada no início, a equipe sentiu que mais testes eram necessários.

Enquanto isso, Sucuri adicionou regras de segurança ao seu Firewall de Aplicações Web (FAW) para bloquear tentativas de exploração dessa falha contra seus clientes. Esse problema foi encontrado internamente e nenhuma tentativa externa foi registrada pela Sucuri.

Durante o fim de semana, comunicamos várias outras empresas com FAWs, incluindo SiteLock, Cloudflare e Incapsula e trabalhamos para criar um conjunto de regras para proteção de mais usuários. Pela segunda-feira, essas regras já haviam sido aplicadas e estávamos checando regularmente por tentativas de exploração dessa falha em sites ativos.

Na segunda-feira, enquanto continuávamos testando e refinando essa correção, nosso foco mudou para as empresas de hospedagem de WordPress. Entramos em contato em particular com informações sobre a vulnerabilidade e formas de como proteger seus usuários. Elas trabalharam juntamente com o time de segurança para implementar essas proteções e regularmente checar por tentativas de ataques contra seus usuários.

Na quarta-feira à tarde a maioria das empresas de hospedagem com que trabalhamos já tinham medidas de segurança funcionando. Os dados dos quatro FAWs e das empresas de hospedagem não indicavam que a vulnerabilidade havia sido explorada em sites ativos. Como resultado, tomamos a decisão de adiar a divulgação dessa falha em particular para dar tempo das atualizações automáticas serem executadas e garantir que o máximo possível de usuários haviam sido protegidos antes de torná-la pública.

Na quinta-feira, 26 de Janeiro, lançamos o WordPress 4.7.2 para o mundo. Este lançamento foi utilizado pelos sistemas com atualização automática habilitada e, em algumas horas, milhões de sites com o WordPress 4.7.x foram protegidos sem saber sobre tal problema e precisar tomar qualquer ação sobre isso.

Gostaríamos de agradecer a Sucuri pela divulgação responsável do caso, além de ter trabalhando conosco para adiar a divulgação até que estejamos confiantes de que muitos sites já estivessem atualizados para a versão 4.7.2 quanto possível. também gostariamos de agradecer aos WAFs e empresas de hospedagem que trabalharam conosco para criar camadas adicionais de proteção e monitorar seus sistemas por tentativas de explorar esta falha. Até hoje, para sua informação, não foram registradas tentativas de tentar explorar esta vulnerabilidade em sites ativos..

Créditos

Matéria originalmente publicada no blog em inglês do WordPress.org.

Publicada aqui por @gugaalves com colaboração na tradução por @mariovalney.