Lançamento de segurança e manutenção do WordPress 4.9.1
English version: WordPress 4.9.1 Security and Maintenance Release
O WordPress 4.9.1 já está disponível. Este é um lançamento de segurança e manutenção para todas as versões desde o WordPress 3.7. Nós o encorajamos fortemente a atualizar seus sites imediatamente.
As versões 4.9 e anteriores do WordPress são afetadas por quatro problemas de segurança que podem ser potencialmente explorados como parte de um ataque multivetorial. Como parte do compromisso contínuo da equipe principal com o reforço da segurança, as seguintes correções foram implementadas na versão 4.9.1:
- Use um hash gerado corretamente para a chave
newbloguser
em vez de uma substring determinada. - Adicione escape aos atributos de linguagem usados em elementos
html
. - Garanta que os atributos dos anexos sejam escapados corretamente nos feeds RSS e Atom.
- Remova a capacidade de fazer upload de arquivos JavaScript para usuários que não têm o recurso
unfiltered_html
.
Agradecemos aos repórteres dessas edições por praticarem a divulgação de segurança responsável : Rahul Pratap Singh e John Blackbourn.
Onze outros bugs foram corrigidos no WordPress 4.9.1. Particularmente dignos de nota foram:
- Problemas relacionados ao armazenamento em cache de arquivos de modelo de tema.
- Um erro de JavaScript do MediaElement impede que usuários de determinados idiomas carreguem arquivos de mídia.
- Incapacidade de editar arquivos de tema e plugin em servidores baseados em Windows.