Wersja WordPress 4.9.1 dotycząca zabezpieczeń i konserwacji
English version: WordPress 4.9.1 Security and Maintenance Release
WordPress 4.9.1 jest już dostępny. Jest to wersja zapewniająca bezpieczeństwo i konserwację dla wszystkich wersji WordPressa od wersji 3.7. Gorąco zachęcamy do natychmiastowej aktualizacji swoich witryn.
WordPress w wersji 4.9 i wcześniejszych dotknięty jest czterema problemami bezpieczeństwa, które mogą potencjalnie zostać wykorzystane w ramach ataku wielowektorowego. W ramach ciągłego zaangażowania głównego zespołu w zwiększanie bezpieczeństwa, w wersji 4.9.1 wprowadzono następujące poprawki:
- Użyj odpowiednio wygenerowanego skrótu dla klucza
newbloguser
zamiast określonego podciągu. - Dodaj ucieczkę do atrybutów języka używanych w elementach
html
. - Upewnij się, że atrybuty załączników są poprawnie oznaczone w kanałach RSS i Atom.
- Usuń możliwość przesyłania plików JavaScript dla użytkowników, którzy nie mają możliwości
unfiltered_html
.
Dziękuję reporterom zajmującym się tymi kwestiami za praktykowanie odpowiedzialnego ujawniania informacji dotyczących bezpieczeństwa : Rahulowi Pratapowi Singhowi i Johnowi Blackbournowi.
W WordPress 4.9.1 naprawiono jedenaście innych błędów. Na szczególną uwagę zasługują:
- Problemy związane z buforowaniem plików szablonów motywów.
- Błąd JavaScript MediaElement uniemożliwiający użytkownikom niektórych języków przesyłanie plików multimedialnych.
- Brak możliwości edycji plików motywów i wtyczek na serwerach opartych na systemie Windows.