WordPress 4.9.1. Версия безопасности и обслуживания

English version: WordPress 4.9.1 Security and Maintenance Release

WordPress 4.9.1 теперь доступен. Это выпуск безопасности и обслуживания для всех версий, начиная с WordPress 3.7. Мы настоятельно рекомендуем вам немедленно обновить свои сайты.

В WordPress версии 4.9 и более ранних есть четыре проблемы безопасности, которые потенциально могут быть использованы в рамках многовекторной атаки. В рамках постоянной работы основной группы по усилению безопасности в версии 4.9.1 были реализованы следующие исправления:

• Используйте правильно сгенерированный хеш для ключа newbloguser вместо определенной подстроки.
• Добавьте экранирование к атрибутам языка, используемым в элементах html .
• Убедитесь, что атрибуты вложений правильно экранированы в каналах RSS и Atom.
• Удалите возможность загружать файлы JavaScript для пользователей, у которых нет возможности unfiltered_html .

Спасибо репортерам этих выпусков за практику ответственного раскрытия информации о безопасности : Рахулу Пратапу Сингху и Джону Блэкборну.

Еще одиннадцать ошибок были исправлены в WordPress 4.9.1. Особо следует отметить:

• Проблемы, связанные с кэшированием файлов шаблонов тем.
• Ошибка JavaScript MediaElement, не позволяющая пользователям определенных языков загружать медиафайлы.
• Невозможность редактировать файлы тем и плагинов на серверах под управлением Windows.