Security Blog

WordPress 4.9.1 Безопасность и обслуживание выпуска


English version: WordPress 4.9.1 Security and Maintenance Release


WordPress 4.9.1 теперь доступен. Это релиз безопасности и обслуживания для всех версий, начиная с WordPress 3.7. Мы настоятельно рекомендуем вам обновить ваши сайты немедленно.

Версии WordPress 4.9 и более ранние подвержены четырем проблемам безопасности, которые потенциально могут быть использованы как часть многовекторной атаки. В рамках постоянной приверженности основной команды усилению безопасности в 4.9.1 были реализованы следующие исправления:

  • Используйте правильно сгенерированный хеш для ключа newbloguser вместо определенной подстроки.
  • Добавьте экранирование к атрибутам языка, используемым в элементах html .
  • Убедитесь, что атрибуты вложений правильно экранированы в каналах RSS и Atom.
  • Удалите возможность загружать файлы JavaScript для пользователей, у которых нет возможности unfiltered_html .

Спасибо репортерам по этим вопросам за ответственное раскрытие информации о безопасности : Рахул Пратап Сингх и Джон Блэкборн.

Одиннадцать других ошибок были исправлены в WordPress 4.9.1. Особо следует отметить:

  • Проблемы, связанные с кэшированием файлов шаблонов тем.
  • Ошибка MediaElement JavaScript, не позволяющая пользователям определенных языков загружать мультимедийные файлы.
  • Невозможность редактировать файлы тем и плагинов на серверах под управлением Windows.

I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.

View Comments
There are currently no comments.