WordPress 4.3.1 – Wydanie poprawiające bezpieczeństwo i błędy

WordPress 4.3.1 jest już dostępny. To wydanie poprawia bezpieczeństwo we wszystkich poprzednich wersjach systemu. Zalecane jest natychmiastowe przeprowadzenie aktualizacji.

To wydanie zawiera między innymi poprawki trzech problemów: dwóch podatności na atak metodą Cross-Site Scripting (XSS) i jednego związanego z użyciem uprawnień, które nie zostały przyznane.

  • WordPress w wersji 4.3 i wcześniejszych podatny jest na atak metodą Cross-Site Scripting (XSS), przeprowadzony w oparciu o przetwarzanie znaczników kodów skrótowych (ang. shortcodes; CVE-2015-5714). Problem zgłosili Shahar Tal i Natanel Rubin z Check Point.
  • Osobną podatność na atak metodą Cross-Site Scripting znaleziono w tabeli ze spisem użytkowników. Zgłosił to Ben Bidner z zespołu bezpieczeństwa WordPressa.
  • Wreszcie, w pewnych przypadkach użytkownicy bez odpowiednich praw mogli publikować prywatne wpisy i oznaczać je jako przyklejone (CVE-2015-5715). Problem zgłosili Shahar Tal i Netanel Rubin z Check Point.

Dziękujemy wszystkim, którzy odpowiedzialnie ujawnili problemy z bezpieczeństwem.

WordPress 4.3.1 naprawia także 26 błędów. Więcej informacji można znaleźć w notatkach do wydania oraz liście przeprowadzonych zmian.

Pobierz WordPressa 4.3.1 lub udaj się do sekcji Kokpit → Aktualizacje panelu administracyjnego i po prostu kliknij przycisk „Zaktualizuj teraz”. Witryny, które obsługują automatyczne aktualizacje, rozpoczęły już ich przeprowadzanie.

Dziękujemy wszystkim, którzy przyczynili się do powstania wersji 4.3.1:

Adam Silverstein, Andrea FerciaAndrew Ozz, Boone Gorges, Brandon Kraft, chriscct7, Daisuke Takahashi, Dion Hulse, Dominik Schilling, Drew Jaynes, dustinbolton, Gary Pendergast, hauvong, James Huff, Jeremy Felt, jobst, Marin Atanasov, Nick Halsey, nikeo, Nikolay Bachiyski, Pascal Birchler, Paul Ryan, Peter Wilson, Robert Chapin, Samuel Wood, Scott Taylor, Sergey Biryukov, tmatsuur, Tracy Levesque, Umesh Nevase, vortfu, welcher, Weston Ruter

6 komentarzy do “WordPress 4.3.1 – Wydanie poprawiające bezpieczeństwo i błędy

  1. Ciekawe czego spodziewać się w nowej wersji, czy to prawda, że WP ma zostać napisany na nowo w Node.js?

  2. W uproszczeniu, tylko szata graficzna panelu zarządzania WordPressem może ulec zmianie. Nie jest to jeszcze przesądzone, a jeśli do tego dojdzie, to dopiero w 2016 roku (wg mnie najwcześniej pod jego koniec). Sama funkcjonalność WordPressa jest rozwijana bez drastycznych zmian, zmiany z Node.js mają na celu tylko wygodniejsze i szybsze administrowanie stronami w przyszłości.
    Odnośnie zmian w nadchodzącej w grudniu wersji 4.4: https://make.wordpress.org/core/tag/4-4/

Dodaj komentarz