У администраторов сайтов, работающих под управлением WordPress, выдалась тяжелая неделя. В понедельник, 5 февраля 2018 года, разработчики опубликовали новую версию CMS (WordPress 4.9.3), которая должна была устранить ряд мелких проблем, но в итоге случайно испортила механизм автоматических обновлений, позволяющий CMS обновляться самостоятельно, без участия пользователя.

Хотя ошибку быстро заметили, и уже на следующий день был выпущен WordPress 4.9.4, восстанавливающий нормальную работу системы автоматических обновлений, возникла очевидная проблема. Дело в том, что пользователи, у которых система обновлений уже сломалась, не получили автоматического исправления в виде WordPress 4.9.4, они могут даже не знать о его существовании. Для установки версии 4.9.4 пострадавшим нужно инициировать обновление вручную, из панели управления.

Еще одной скверной новостью является тот факт, что в обеих версиях (4.9.3 и 4.9.4) по-прежнему отсутствует патч для уязвимости CVE-2018-6389, о которой ранее сообщил независимый израильский ИБ-специалист Барак Тавайли (Barak Tawily).

Напомню, что критическая DoS-уязвимость связана с работой load-scripts.php. По сути, баг позволяет «уронить» практически любой уязвимый сайт, направляя ему специально сформированные запросы.

Тавайли обнаружил, что атакующий может заставить load-scripts.php загрузить все доступные файлы j