WordPress 4.7.2 – Wydanie poprawiające bezpieczeństwo

WordPress 4.7.2 jest już dostępny. Wersja poprawia bezpieczeństwo we wszystkich poprzednich wersjach, a my zachęcamy do niezwłocznej aktualizacji witryn.

WordPress 4.7.1 oraz wcześniejsze wersje posiadają następujące podaności:

  1. Interfejs użytkownika służący do przypisywania taksonomii w „Press This” jest widoczny dla użytkowników, którzy nie mają uprawnień, aby go używać. Zgłoszone przez Davida Herrera Alley Interactive.
  2. Klasa WP_Query jest podatna na SQL injection (SQLi) podczas przetwarzania niebezpiecznych danych. Sam WordPress nie jest bezpośrednio narażony na ten problem, ale dodaliśmy zabezpieczenie, aby zapobiec przypadkowemu użycia podaności we wtyczkach i motywach. Zgłoszone przez Mo Jangda (batmoo).
  3. Podatność cross-site scripting (XSS) została odkryta w tabeli z listą wpisów. Zgłoszone przez Ian Dunn z WordPress Security Team.

Dziękujemy raportującym za głoszenia zgodne z praktyką odpowiedzialnego ujawniania (tekst po angielsku).

Pobierz WordPress 4.7.2 lub przejdź do kokpitu → Aktualizacje i kliknij „Zaktualizuj teraz”. Witryny które obsługują automatyczne aktualizacje powinny już być uaktualnione do WordPressa 4.7.2.

Dziękujemy wszystkim, którzy przyczynili się do 4.7.2.