Mise à jour de sécurité et de maintenance de WordPress 4.9.1

English version: WordPress 4.9.1 Security and Maintenance Release

WordPress 4.9.1 est désormais disponible. Cette mise à jour corrige des problèmes de sécurité et de maintenance pour toutes les versions de WordPress depuis la version 3.7. Nous vous recommandons vivement de mettre à jour vos sites sans délai.

Les versions 4.9 et antérieures de WordPress sont affectées par quatre failles de sécurité susceptibles d'être exploitées dans le cadre d'une attaque multivectorielle. Dans le cadre de l'engagement continu de l'équipe principale en matière de renforcement de la sécurité, les correctifs suivants ont été implémentés dans la version 4.9.1 :

• Utilisez un hachage correctement généré pour la clé newbloguser au lieu d'une sous-chaîne déterminée.
• Ajoutez l'échappement aux attributs de langue utilisés sur les éléments html .
• Assurez-vous que les attributs des pièces jointes sont correctement échappés dans les flux RSS et Atom.
• Supprimer la possibilité de télécharger des fichiers JavaScript pour les utilisateurs qui ne disposent pas de la capacité unfiltered_html .

Merci aux journalistes qui ont traité de ces questions pour leur pratique responsable de la divulgation d'informations en matière de sécurité : Rahul Pratap Singh et John Blackbourn.

Onze autres bogues ont été corrigés dans WordPress 4.9.1. Parmi les plus notables :

• Problèmes liés à la mise en cache des fichiers de modèles de thème.
• Une erreur JavaScript liée à MediaElement empêche les utilisateurs de certaines langues de pouvoir télécharger des fichiers multimédias.
• L'impossibilité de modifier les fichiers de thème et de plugin sur les serveurs Windows.