WordPress 5.0.1 – Atualização de segurança

O WordPress 5.0.1 já está disponível. Essa é uma atualização de segurança para todas as versões a partir do WordPress 3.7. Encorajamos que você atualize seus sites imediatamente.

Recomendamos que autores de plugins leiam as notas de desenvolvedor do 5.0.1 para informações sobre retrocompatibilidade.

As versões 5.0 e anteriores do WordPress foram afetadas pelos erros abaixo, que foram corrigidos na versão 5.0.1. Versões atualizadas do WordPress 4.9 e anteriores também estão disponíveis para os usuários que ainda não atualizaram para a versão 5.0.

  • Karim El Ouerghemmi descobriu que autores poderiam alterar os metadados para excluir arquivos sem autorização.
  • Simon Scannell da RIPS Technologies descobriu que autores poderiam criar posts de tipos diferentes sem autorização transmitindo dados de uma certa forma.
  • Sam Thomas descobriu que colaboradores poderiam criar metadados de uma forma que resultaria em injeção de objeto pelo PHP.
  • Tim Coen descobriu que colaboradores poderiam editar novos comentários de usuários com mais privilégios, potencialmente levando à uma vulnerabilidade por execução de scripts de outros sites (XSS, do inglês Cross-Site Scripting).
  • Tim Coen também descobriu que entradas de dados para URL feitas de uma determinada forma poderiam levar a vulnerabilidade por XSS em algumas circunstâncias. O WordPress não foi afetado, mas em algumas situações os plugins podem ser.
  • A equipe Yoast descobriu que a tela de ativação de usuário poderia ser indexada por mecanismos de pesquisa em algumas configurações incomuns, levando à exposição de endereços de e-mail e, em alguns casos raros, senhas geradas automaticamente.
  • Tim Coen e Slavco descobriram que autores em sites usando Apache poderiam enviar arquivos criados de uma determinada forma para ignorar a verificação por MIME, levando à uma vulnerabilidade por XSS.

Agradecemos a todos por terem relatado as vulnerabilidades de forma privada, nos dando tempo para corrigi-las antes que os sites WordPress fossem atacados.

Baixe o WordPress 5.0.1 ou visite o Painel → Atualizações e simplesmente clique em Atualizar agora. Sites com suporte a atualizações automáticas em segundo plano já começaram a se atualizar.

Além dos pesquisadores de segurança que mencionamos acima, agradecemos a todos que contribuíram para o WordPress 5.0.1:

Alex Shiels, Alex Concha, Anton Timmermans, Andrew Ozz, Aaron Campbell, Andrea Middleton, Ben Bidner, Barry Abrahamson, Chris Christoff, David Newman, Demitrious Kelly, Dion Hulse, Hannah Notess, Gary Pendergast, Herre Groen, Ian Dunn, Jeremy Felt, Joe McGill, John James Jacoby, Jonathan Desrosiers, Josepha Haden, Joost de Valk, Mo Jangda, Nick Daugherty, Peter Wilson, Pascal Birchler, Sergey Biryukov e Valentyn Pylypchuk.

WordPress 4.9.1 – Atualização de segurança e manutenção

O WordPress 4.9.1 já está disponível. Essa é uma atualização de segurança e manutenção para todas as versões a partir do WordPress 3.7. Encorajamos que você atualize seus sites imediatamente.

As versões 4.9 e anteriores do WordPress foram afetadas por quatro problemas de segurança que podem ser explorados como parte de um ataque multivetor. Como parte do compromisso da equipe dos arquivos básicos de aumentar a segurança, os seguintes ajustes foram implementados na versão 4.9.1:

  1. Uso de um hash gerado apropriadamente para a chave newbloguser ao invés de uma determinada substring.
  2. Tratamento dos atributos de idiomas nos elementos html.
  3. Verificação do escape dos fechamentos dos atributos em feeds RSS e Atom.
  4. Remoção da habilidade de subir arquivos JavaScript para usuários que não tenham a capacidade unfiltered_html.

Agradecemos a todos os que identificaram e relataram esses problemas pelo modo responsável como isso foi feito: Rahul Pratap Singh e John Blackbourn.

Outros onze erros foram resolvidos no WordPress 4.9.1. Os mais importantes foram:

  • Problemas relacionados ao cache de arquivos de templates nos temas.
  • Um erro de JavaScript no MediaElement que não permitia que os usuários de determinados idiomas subissem arquivos de mídia.
  • A impossibilidade de editar arquivos de temas e plugins em servidores Windows.

Para saber mais, acesse este post com mais informações sobre todos os problemas ajustados na versão 4.9.1.

Baixe o WordPress 4.9.1 ou visite o Painel → Atualizações e simplesmente clique em “Atualizar agora”. Sites com suporte a atualizações automáticas em segundo plano já começaram a se atualizar.

Agradecemos a todos que contribuíram para o WordPress 4.9.1:

Alain Schlesser, Andrea Fercia, Angelika Reisiger, Blobfolio, bobbingwide, Chetan Prajapati, Dion Hulse, Dominik Schilling (ocean90), edo888, Erich Munz, Felix Arntz, Florian TIAR, Gary Pendergast, Igor Benic, Jeff Farthing, Jeffrey Paul, jeremyescott, Joe McGill, John Blackbourn, johnpgreen, Kelly Dwan, lenasterg, Marius L. J., Mel Choyce, Mário Valney , natacado, odyssey, precies, Saša, Sergey Biryukov, and Weston Ruter.

WordPress agora está na HackerOne

O WordPress cresceu muito nos últimos 13 anos e agora ele está por trás de mais de 28% dos 10 milhões de sites de maior destaque na Web. Durante este crescimento, cada equipe do WordPress trabalhou com afinco para melhorar continuamente suas ferramentas e processos. Hoje, a Equipe de Segurança do WordPress tem o prazer de anunciar que agora o WordPress está oficialmente na HackerOne!

HackerOne é uma plataforma criada para que pesquisadores em segurança possam comunicar a nossa equipe as vulnerabilidades por eles encontradas, de maneira segura e responsável. Ela dispõe de ferramentas que melhoram a qualidade e consistência da comunicação com estes pesquisadores, e permite reduzir o tempo gasto em responder problemas mais comuns já relatados. Isso libera nossa equipe para despender mais tempo trabalhando em melhorias na segurança do WordPress.

A equipe de segurança do WordPress tem trabalhado neste projeto já faz algum tempo. Nikolay Bachiyski iniciou a equipe de trabalho há um pouco mais de um ano. O projeto rodou como um programa privado enquanto nós desenvolvíamos nossos procedimentos e processos, e estamos entusiasmados em finalmente torná-lo público.

Com o anúncio do programa WordPress HackerOne, também apresentamos o programa de recompensas Bug Bounties (ou “recompensas por bugs”, em Português). O Bug Bounties nos permite recompensar aqueles nos comunicam bugs e brechas encontradas, além de nos auxiliar a manter mais seguro nossos produtos e infraestrutura. Nós já distribuímos mais de US$ 3.700 em recompensas a sete diferentes pesquisadores! Ficamos agradecidos a Automattic por pagar estas recompensas em nome do projeto WordPress.

O programa e as recompensas se estendem a todos os nossos projetos, incluindo WordPress, BuddyPress, bbPress, GlotPress e WP-CLI, bem como todos os nossos websites, incluindo WordPress.org, bbPress.org, WordCamp.org, BuddyPress.org e GlotPress.org.