Выпуск WordPress 4.9.1 для обеспечения безопасности и обслуживания
English version: WordPress 4.9.1 Security and Maintenance Release
WordPress 4.9.1 уже доступен. Это выпуск безопасности и обслуживания для всех версий, начиная с WordPress 3.7. Мы настоятельно рекомендуем вам немедленно обновить свои сайты.
WordPress версии 4.9 и более ранние подвержены четырем проблемам безопасности, которые потенциально могут быть использованы в рамках многовекторной атаки. В рамках постоянного стремления основной группы к усилению безопасности в версии 4.9.1 были реализованы следующие исправления:
- Используйте правильно сгенерированный хэш для ключа
newbloguser
вместо определенной подстроки. - Добавьте экранирование к языковым атрибутам, используемым в
html
-элементах. - Убедитесь, что атрибуты вложений правильно экранированы в каналах RSS и Atom.
- Удалите возможность загружать файлы JavaScript для пользователей, у которых нет возможности
unfiltered_html
.
Спасибо репортерам этих выпусков за практику ответственного раскрытия информации о безопасности : Рахулу Пратапу Сингху и Джону Блэкборну.
Одиннадцать других ошибок были исправлены в WordPress 4.9.1. Особого внимания заслуживают:
- Проблемы, связанные с кешированием файлов шаблонов тем.
- Ошибка MediaElement JavaScript, не позволяющая пользователям некоторых языков загружать медиафайлы.
- Невозможность редактировать файлы тем и плагинов на серверах под управлением Windows.