WordPress.org

WordPress 4.3.1 jest już dostępny. To wydanie poprawia bezpieczeństwo we wszystkich poprzednich wersjach systemu. Zalecane jest natychmiastowe przeprowadzenie aktualizacji.

To wydanie zawiera między innymi poprawki trzech problemów: dwóch podatności na atak metodą Cross-Site Scripting (XSS) i jednego związanego z użyciem uprawnień, które nie zostały przyznane.

• WordPress w wersji 4.3 i wcześniejszych podatny jest na atak metodą Cross-Site Scripting (XSS), przeprowadzony w oparciu o przetwarzanie znaczników kodów skrótowych (ang. shortcodes; CVE-2015-5714). Problem zgłosili Shahar Tal i Natanel Rubin z Check Point.
• Osobną podatność na atak metodą Cross-Site Scripting znaleziono w tabeli ze spisem użytkowników. Zgłosił to Ben Bidner z zespołu bezpieczeństwa WordPressa.
• Wreszcie, w pewnych przypadkach użytkownicy bez odpowiednich praw mogli publikować prywatne wpisy i oznaczać je jako przyklejone (CVE-2015-5715). Problem zgłosili Shahar Tal i Netanel Rubin z Check Point.

Dziękujemy wszystkim, którzy odpowiedzialnie ujawnili problemy z bezpieczeństwem.

WordPress 4.3.1 naprawia także 26 błędów. Więcej informacji można znaleźć w notatkach do wydania oraz liście przeprowadzonych zmian.

Pobierz WordPressa 4.3.1 lub udaj się do sekcji Kokpit → Aktualizacje panelu administracyjnego i po prostu kliknij przycisk „Zaktualizuj teraz”. Witryny, które obsługują automatyczne aktualizacje, rozpoczęły już ich przeprowadzanie.

Dziękujemy wszystkim, którzy przyczynili się do powstania wersji 4.3.1:

Adam Silverstein, Andrea Fercia, Andrew Ozz, Boone Gorges, Brandon Kraft, chriscct7, Daisuke Takahashi, Dion Hulse, Dominik Schilling, Drew Jaynes, dustinbolton, Gary Pendergast, hauvong, James Huff, Jeremy Felt, jobst, Marin Atanasov, Nick Halsey, nikeo, Nikolay Bachiyski, Pascal Birchler, Paul Ryan, Peter Wilson, Robert Chapin, Samuel Wood, Scott Taylor, Sergey Biryukov, tmatsuur, Tracy Levesque, Umesh Nevase, vortfu, welcher, Weston Ruter