Выпуск WordPress 4.9.1 для обеспечения безопасности и обслуживания

English version: WordPress 4.9.1 Security and Maintenance Release

WordPress 4.9.1 уже доступен. Это выпуск безопасности и обслуживания для всех версий, начиная с WordPress 3.7. Мы настоятельно рекомендуем вам немедленно обновить свои сайты.

WordPress версии 4.9 и более ранние подвержены четырем проблемам безопасности, которые потенциально могут быть использованы в рамках многовекторной атаки. В рамках постоянного стремления основной группы к усилению безопасности в версии 4.9.1 были реализованы следующие исправления:

• Используйте правильно сгенерированный хэш для ключа newbloguser вместо определенной подстроки.
• Добавьте экранирование к языковым атрибутам, используемым в html -элементах.
• Убедитесь, что атрибуты вложений правильно экранированы в каналах RSS и Atom.
• Удалите возможность загружать файлы JavaScript для пользователей, у которых нет возможности unfiltered_html .

Спасибо репортерам этих выпусков за практику ответственного раскрытия информации о безопасности : Рахулу Пратапу Сингху и Джону Блэкборну.

Одиннадцать других ошибок были исправлены в WordPress 4.9.1. Особого внимания заслуживают:

• Проблемы, связанные с кешированием файлов шаблонов тем.
• Ошибка MediaElement JavaScript, не позволяющая пользователям некоторых языков загружать медиафайлы.
• Невозможность редактировать файлы тем и плагинов на серверах под управлением Windows.