WordPress 4.5.2 jest już dostępny. To wydanie poprawia bezpieczeństwo we wszystkich poprzednich wersjach systemu. Zalecane jest natychmiastowe przeprowadzenie aktualizacji.

WordPress w wersjach 4.5.1 i wcześniejszych jest podatny na atak metodą SOME przez błąd bezpieczeństwa w Plupload – zewnętrznej bibliotece, której WordPress używa do wgrywania plików. WordPress w wersjach 4.2 do 4.5.1 jest podatny na atak metodą reflected XSS przez użycie specjalnie spreparowanych adresów URI dla MediaElement.js – zewnętrznej biblioteki, używanej przez odtwarzacze mediów. Biblioteki MediaElement.js i Plupload także zostały zaktualizowane przez ich autorów w celu poprawienia tych błędów bezpieczeństwa.

Obydwa problemy zostały wykryli i zgłosili: Mario Heiderich, Masato Kinugawa i Filedescriptor z Cure53. Dziękujemy zespołowi za odpowiedzialne ujawnienie tych problemów, a także zespołom bibliotek Plupload i MediaElement.js za ścisłą współpracę z nami w celu usunięcia tych błędów.

Pobierz WordPressa 4.5.2 lub udaj się do sekcji Kokpit → Aktualizacje panelu administracyjnego i po prostu kliknij przycisk „Zaktualizuj teraz”. Witryny, które obsługują automatyczne aktualizacje, rozpoczęły już ich przeprowadzanie.

Informujemy także, że publiczny rozgłos uzyskały ostatnio problemy bezpieczeństwa wykryte w bibliotece przetwarzającej obrazy ImageMagick, używanej przez wielu dostawców hostingowych, którą może wykorzystywać również WordPress. Nasze aktualne stanowisko na temat tych problemów oraz zalecenia można poznać czytając ten wpis na blogu o tworzeniu rdzenia systemu (w języku angielskim).