WordPress 2.8.4: aktualizacja zabezpieczeń

Poniższy tekst jest tłumaczeniem tego wpisu, który Matt Mullenweg umieścił dzisiaj na blogu wordpress.org:


Wczoraj w WordPressie odkryta została luka: odpowiednio ułożony adres URL pozwalał na pominięcie sprawdzenia, czy użytkownik faktycznie zażądał zmiany swojego hasła. W efekcie tego działania pierwsze konto w bazie danych, do którego nie był przypisany żaden klucz (zwykle jest to konto administratora), uzyskiwało nowe hasło, które było następnie wysyłane do właściciela owego konta. Nie pozwalało to na uzyskanie dostępu do blogu, ale było bardzo irytujące.

Naprawiliśmy ten problem wczoraj w nocy i od tego czasu testujemy poprawiony kod i szukamy innych błędów. Wersja 2.8.4, która naprawia wszystkie znane problemy, jest już dostępna do pobrania, a aktualizacja do tej wersji jest zalecana wszystkim użytkownikom WordPressa.

WordPress 2.8.3

Tłumaczenie wpisu Ryana Borena:


Niestety pominąłem niektóre miejsca podczas naprawiania błędu nadmiernych uprawnień w wersji 2.8.1. Ubezpiecza nas, na szczęście, cała społeczność WordPressa. Paru ludzi zajrzało głębiej do kodu i odkryło miejsca, które zostały pominięte. Z ich pomocą w wersji 2.8.3 naprawione zostały pozostałe błędy. W związku z tym, że aktualizacja ta jest aktualizacją dotyczącą bezpieczeństwa, uaktualnienie WordPressa jest mocno zalecane. Pobierz wersję 2.8.3 lub wykonaj automatyczną aktualizację z poziomu panelu administratora.