Обновление безопасности и технического обслуживания WordPress 4.9.1

English version: WordPress 4.9.1 Security and Maintenance Release

Вышла новая версия WordPress 4.9.1. Это обновление, направленное на повышение безопасности и улучшение обслуживания всех версий WordPress, начиная с 3.7. Мы настоятельно рекомендуем вам немедленно обновить ваши сайты.

В версиях WordPress 4.9 и более ранних версиях обнаружены четыре уязвимости безопасности, которые потенциально могут быть использованы в рамках многовекторной атаки. В рамках постоянных усилий основной команды по повышению уровня безопасности в версии 4.9.1 были реализованы следующие исправления:

• Вместо заданной подстроки используйте правильно сгенерированный хеш для ключа newbloguser .
• Добавьте экранирование к атрибутам языка, используемым для html элементов.
• Убедитесь, что атрибуты контейнеров корректно экранируются в RSS и Atom-лентах.
• Удалите возможность загрузки файлов JavaScript для пользователей, не имеющих права доступа unfiltered_html .

Благодарим журналистов, освещавших эти вопросы, за ответственное раскрытие информации в сфере безопасности : Рахула Пратапа Сингха и Джона Блэкборна.

В WordPress 4.9.1 было исправлено еще одиннадцать ошибок. Особо следует отметить следующие:

• Вопросы, связанные с кэшированием файлов шаблонов тем оформления.
• Ошибка JavaScript в элементе MediaElement не позволяет пользователям, говорящим на определенных языках, загружать медиафайлы.
• Невозможность редактирования файлов тем и плагинов на серверах под управлением Windows.