Security Blog

Wersja WordPress 4.9.1 dotycząca zabezpieczeń i konserwacji


English version: WordPress 4.9.1 Security and Maintenance Release


WordPress 4.9.1 jest już dostępny. Jest to wersja zapewniająca bezpieczeństwo i konserwację dla wszystkich wersji WordPressa od wersji 3.7. Gorąco zachęcamy do natychmiastowej aktualizacji swoich witryn.

WordPress w wersji 4.9 i wcześniejszych dotknięty jest czterema problemami bezpieczeństwa, które mogą potencjalnie zostać wykorzystane w ramach ataku wielowektorowego. W ramach ciągłego zaangażowania głównego zespołu w zwiększanie bezpieczeństwa, w wersji 4.9.1 wprowadzono następujące poprawki:

  • Użyj odpowiednio wygenerowanego skrótu dla klucza newbloguser zamiast określonego podciągu.
  • Dodaj ucieczkę do atrybutów języka używanych w elementach html .
  • Upewnij się, że atrybuty załączników są poprawnie oznaczone w kanałach RSS i Atom.
  • Usuń możliwość przesyłania plików JavaScript dla użytkowników, którzy nie mają możliwości unfiltered_html .

Dziękuję reporterom zajmującym się tymi kwestiami za praktykowanie odpowiedzialnego ujawniania informacji dotyczących bezpieczeństwa : Rahulowi Pratapowi Singhowi i Johnowi Blackbournowi.

W WordPress 4.9.1 naprawiono jedenaście innych błędów. Na szczególną uwagę zasługują:

  • Problemy związane z buforowaniem plików szablonów motywów.
  • Błąd JavaScript MediaElement uniemożliwiający użytkownikom niektórych języków przesyłanie plików multimedialnych.
  • Brak możliwości edycji plików motywów i wtyczek na serwerach opartych na systemie Windows.

I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.

View Comments
There are currently no comments.