Security Blog

WordPress 4.9.1 Sécurité et la version de maintenance


English version: WordPress 4.9.1 Security and Maintenance Release


WordPress 4.9.1 est maintenant disponible. Ceci est une version de sécurité et de maintenance pour toutes les versions depuis WordPress 3.7. Nous vous encourageons vivement à mettre à jour vos sites immédiatement.

Les versions 4.9 et antérieures de WordPress sont affectées par quatre problèmes de sécurité qui pourraient potentiellement être exploités dans le cadre d'une attaque multi-vecteur. Dans le cadre de l'engagement continu de l'équipe principale en faveur du renforcement de la sécurité, les correctifs suivants ont été implémentés dans la version 4.9.1:

  • Utilisez un hachage correctement généré pour la clé newbloguser au lieu d'une sous-chaîne déterminée.
  • Ajoutez d'échappement aux attributs de langue utilisés sur les éléments html .
  • Assurez-vous que les attributs des pièces jointes sont correctement protégés dans les flux RSS et Atom.
  • Supprimez la possibilité de télécharger des fichiers JavaScript pour les utilisateurs ne disposant pas de la fonctionnalité unfiltered_html .

Merci aux journalistes de ces problèmes de pratique de la divulgation responsable de sécurité : Rahul Pratap Singh et John Blackbourn.

Onze autres bugs ont été corrigés dans WordPress 4.9.1. À noter en particulier:

  • Problèmes liés à la mise en cache des fichiers de modèle de thème.
  • Une erreur JavaScript MediaElement empêchant les utilisateurs de certaines langues de télécharger des fichiers multimédia.
  • L'impossibilité de modifier des fichiers de thèmes et de plug-ins sur des serveurs Windows.

I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.

View Comments
There are currently no comments.