Security Blog

WordPress 4.9.1 Seguridad y la versión de mantenimiento


English version: WordPress 4.9.1 Security and Maintenance Release


WordPress 4.9.1 ya está disponible. Esta es una versión de seguridad y mantenimiento para todas las versiones desde WordPress 3.7. Le recomendamos encarecidamente que actualice sus sitios inmediatamente.

Las versiones de WordPress 4.9 y anteriores se ven afectadas por cuatro problemas de seguridad que podrían explotarse como parte de un ataque de múltiples vectores. Como parte del compromiso continuo del equipo central con el fortalecimiento de la seguridad, las siguientes correcciones se implementaron en 4.9.1:

  • Use un hash generado correctamente para la clave newbloguser en lugar de una subcadena determinada.
  • Agregue el escape a los atributos de lenguaje utilizados en los elementos html .
  • Asegúrese de que los atributos de los gabinetes se escapen correctamente en las fuentes RSS y Atom.
  • Elimine la capacidad de cargar archivos JavaScript para los usuarios que no tienen la capacidad de unfiltered_html .

Gracias a los reporteros de estos problemas por practicar la divulgación de seguridad responsable : Rahul Pratap Singh y John Blackbourn.

Otros once errores fueron corregidos en WordPress 4.9.1. De particular interés fueron:

  • Problemas relacionados con el almacenamiento en caché de archivos de plantillas de temas.
  • Un error de JavaScript de MediaElement que impide que los usuarios de ciertos idiomas puedan cargar archivos de medios.
  • La imposibilidad de editar archivos de temas y complementos en servidores basados en Windows.

I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.

View Comments
There are currently no comments.