Version de sécurité et de maintenance de WordPress 4.9.1

English version: WordPress 4.9.1 Security and Maintenance Release

WordPress 4.9.1 est maintenant disponible. Il s'agit d'une version de sécurité et de maintenance pour toutes les versions depuis WordPress 3.7. Nous vous encourageons fortement à mettre à jour vos sites immédiatement.

Les versions 4.9 et antérieures de WordPress sont affectées par quatre problèmes de sécurité qui pourraient potentiellement être exploités dans le cadre d'une attaque multi-vecteurs. Dans le cadre de l'engagement continu de l'équipe principale en faveur du renforcement de la sécurité, les correctifs suivants ont été implémentés dans la version 4.9.1 :

• Utilisez un hachage correctement généré pour la clé newbloguser au lieu d'une sous-chaîne déterminée.
• Ajoutez l'échappement aux attributs de langage utilisés sur les éléments html .
• Assurez-vous que les attributs des pièces jointes sont correctement échappés dans les flux RSS et Atom.
• Supprimez la possibilité de télécharger des fichiers JavaScript pour les utilisateurs qui ne disposent pas de la fonctionnalité unfiltered_html .

Merci aux journalistes de ces numéros pour avoir pratiqué une divulgation responsable en matière de sécurité : Rahul Pratap Singh et John Blackbourn.

Onze autres bugs ont été corrigés dans WordPress 4.9.1. Il convient particulièrement de noter :

• Problèmes liés à la mise en cache des fichiers de modèles de thème.
• Une erreur JavaScript MediaElement empêchant les utilisateurs de certaines langues de pouvoir télécharger des fichiers multimédias.
• L'impossibilité de modifier les fichiers de thème et de plug-in sur les serveurs Windows.