WordPress 4.9.1 Seguridad y la versión de mantenimiento
English version: WordPress 4.9.1 Security and Maintenance Release
WordPress 4.9.1 ya está disponible. Esta es una versión de seguridad y mantenimiento para todas las versiones desde WordPress 3.7. Le recomendamos encarecidamente que actualice sus sitios inmediatamente.
Las versiones de WordPress 4.9 y anteriores se ven afectadas por cuatro problemas de seguridad que podrían explotarse como parte de un ataque de múltiples vectores. Como parte del compromiso continuo del equipo central con el fortalecimiento de la seguridad, las siguientes correcciones se implementaron en 4.9.1:
- Use un hash generado correctamente para la clave
newbloguser
en lugar de una subcadena determinada. - Agregue el escape a los atributos de lenguaje utilizados en los elementos
html
. - Asegúrese de que los atributos de los gabinetes se escapen correctamente en las fuentes RSS y Atom.
- Elimine la capacidad de cargar archivos JavaScript para los usuarios que no tienen la capacidad de
unfiltered_html
.
Gracias a los reporteros de estos problemas por practicar la divulgación de seguridad responsable : Rahul Pratap Singh y John Blackbourn.
Otros once errores fueron corregidos en WordPress 4.9.1. De particular interés fueron:
- Problemas relacionados con el almacenamiento en caché de archivos de plantillas de temas.
- Un error de JavaScript de MediaElement que impide que los usuarios de ciertos idiomas puedan cargar archivos de medios.
- La imposibilidad de editar archivos de temas y complementos en servidores basados en Windows.