Security Blog

WordPress 4.9.1 beveiliging en onderhoud release


English version: WordPress 4.9.1 Security and Maintenance Release


WordPress 4.9.1 is nu beschikbaar. Dit is een beveiligings- en onderhoudsvrijgave voor alle versies sinds WordPress 3.7. We raden u ten zeerste aan om uw sites onmiddellijk bij te werken.

WordPress versies 4.9 en eerder worden beïnvloed door vier beveiligingsproblemen die mogelijk kunnen worden misbruikt als onderdeel van een multi-vectoraanval. Als onderdeel van de voortdurende toewijding van het kernteam aan beveiligingsharding zijn de volgende oplossingen in 4.9.1 geïmplementeerd:

  • Gebruik een correct gegenereerde hash voor de newbloguser sleutel in plaats van een bepaalde substring.
  • Voeg escaping toe aan de taalattributen die worden gebruikt op html elementen.
  • Zorg ervoor dat de attributen van enclosures correct zijn geëscaped in RSS- en Atom-feeds.
  • Verwijder de mogelijkheid om JavaScript-bestanden te uploaden voor gebruikers die niet over de niet- unfiltered_html mogelijkheid beschikken.

Hartelijk dank aan de verslaggevers van deze kwesties voor het beoefenen van verantwoorde openbaarmaking van beveiliging : Rahul Pratap Singh en John Blackbourn.

Elf andere fouten werden opgelost in WordPress 4.9.1. Vooral van belang waren:

  • Problemen met betrekking tot het cachen van themasjabloonbestanden.
  • Een JavaScript-fout van MediaElement die voorkomt dat gebruikers van bepaalde talen mediabestanden kunnen uploaden.
  • Het onvermogen om thema- en plug-inbestanden op Windows-servers te bewerken.

Last posts from WordPress security blog


I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.

View Comments
There are currently no comments.