WordPress 4.9.7 – Wydanie poprawiające bezpieczeństwo i błędy

WordPress 4.9.7 jest już dostępny. To wydanie poprawia bezpieczeństwo wszystkich wersji systemu począwszy od 3.7. Zalecane jest natychmiastowe przeprowadzenie aktualizacji.

Czytaj dalej „WordPress 4.9.7 – Wydanie poprawiające bezpieczeństwo i błędy“

WordPress 4.9.4 – Wydanie poprawiające ważny błąd

WordPress 4.9.4 jest już dostępny.

To wydanie rozwiązuje istotny problem wprowadzony w wersji 4.9.3, który powodował, że strony obsługujące automatyczne aktualizacje nie będą mogły ich przeprowadzić. Wymagane jest ręczne zaktualizowanie WordPressa do wersji 4.9.4 przez Ciebie lub Twojego dostawcę hostingu.

Czytaj dalej „WordPress 4.9.4 – Wydanie poprawiające ważny błąd“

WordPress 4.9.3 – Wydanie poprawiające błędy

WordPress 4.9.3 jest już dostępny.

To wydanie zawiera poprawki 34 błędów obecnych w wersji 4.9 WordPressa, w tym dotyczących zestawów zmian na ekranie Personalizacji, widgetów, edytora wizualnego i kompatybilności z PHP 7.2.  Spis wszystkich zmian znajdziesz w liście zamkniętych wątków oraz liście przeprowadzonych zmian.

Czytaj dalej „WordPress 4.9.3 – Wydanie poprawiające błędy“

WordPress 4.9.2 – Wydanie poprawiające bezpieczeństwo i błędy

WordPress 4.9.2 jest już dostępny. To wydanie poprawia bezpieczeństwo we wszystkich poprzednich wersjach systemu. Zalecane jest natychmiastowe przeprowadzenie aktualizacji.

Czytaj dalej „WordPress 4.9.2 – Wydanie poprawiające bezpieczeństwo i błędy“

WordPress 4.8.2 – Wydanie poprawiające bezpieczeństwo i błędy

WordPress 4.8.2 jest już dostępny. Wersja poprawia bezpieczeństwo wszystkich poprzednich wersji i zdecydowanie zachęcamy do natychmiastowej aktualizacji witryn.

WordPress w wersji 4.8.1 i starsze mają następujące problemy z bezpieczeństwem:

  1. $wpdb-> prepare() mogło tworzyć nieoczekiwane i niebezpieczne zapytania prowadzące do potencjalnego wstrzyknięcia kod SQL (SQLi). Core WordPressa nie jest bezpośrednio narażony na ten problem, ale poprawiono proces tworzenia zapytań aby zapobiegać podatności we wtyczkach i motywach. Zgłoszone przez Slavco
  2. Wykryto podatność na cross-site scripting (XSS) w używaniu oEmbed. Zgłoszone przez xknown zespołu ds. Zabezpieczeń WordPress.
  3. W edytorze wizualnym wykryto lukę w zabezpieczeniach skryptów przed cross-site scripting (XSS) Zgłoszone przez Rodolfo Assis (@brutelogic) Sucuri Security.
  4. W kodzie do rozpakowywania wykryto lukę w zabezpieczeniach ścieżki do pliku. Zgłoszone przez Alex Chapman (noxrnet).
  5. W edytorze wtyczek wykryto luka w zabezpieczeniach cross-site scripting (XSS). Zgłoszone przez 陈瑞琦 (Chen Ruiqi).
  6. Na ekranie użytkownika i terminach edycji zostały wykryte otwarte przekierowanie. Zgłoszone przez Yasin Soliman (ysx).
  7. Odkryto lukę w zabezpieczeniach ścieżki na ekranie personalizacji witryny. Zgłoszone przez Weston Ruter z zespołu ds. Bezpieczeństwa WordPress.
  8. Wykryto podatność na cross-site scripting (XSS)  w nazwach szablonów. Zgłoszone przez Luka (sikic).
  9. Wykryto podatność na cross-site scripting (XSS) w linkach modalnych. Zgłoszone przez Anas Roubi (qasuar).

Dziękujemy zgłaszającym za praktykowanie odpowiedzialnego ujawnienia (en).

Oprócz powyższych kwestii związanych z bezpieczeństwem, WordPress 4.8.2 zawiera 6 poprawek utrzymaniowych serii 4.8. Więcej informacji można znaleźć w notce wydania wersji (en) oraz na liście zmian.

Pobierz WordPress 4.8.2 lub przejdź do Panel → Aktualizacje i kliknij przycisk „Aktualizuj teraz”. Strony obsługujące automatyczne aktualizacje w tle już zaczynają aktualizować się do wersji 4.8.2.

Dziękujemy wszystkim, którzy przyczynili się do wydania 4.8.2.

WordPress 4.7.5 – Wydanie poprawiające bezpieczeństwo i błędy

WordPress 4.7.5 jest już dostępny. To wydanie poprawia bezpieczeństwo we wszystkich poprzednich wersjach systemu. Zalecane jest natychmiastowe przeprowadzenie aktualizacji.

Czytaj dalej „WordPress 4.7.5 – Wydanie poprawiające bezpieczeństwo i błędy“

WordPress 4.7.3 – Wydanie poprawiające bezpieczeństwo i błędy

WordPress 4.7.3 jest już dostępny. Wersja poprawia bezpieczeństwo we wszystkich poprzednich wersjach, a my zachęcamy do niezwłocznej aktualizacji witryn.

WordPress 4.7.2 oraz wcześniejsze posiadają sześć podatności:

  1. Cross-site scripting (XSS) za pomocą metadanych plików multimedialnych. Zgłoszone przez Chris Andrè Dale, Yorick Koster, and Simon P. Briggs.
  2. Znaki kontrolne mogą oszukać walidacji adresu URL przekierowania. Zgłoszone przez Daniel Chatfield.
  3. Pliki niezwiązane z wtyczką, mogą być usuwane korzystając z funkcjonalności usunięcia wtyczki. Zgłoszone przez xuliang.
  4. Cross-site scripting (XSS) za pośrednictwem adresu URL YouTube. Zgłoszone przez Marc Montpas.
  5. Cross-site scripting (XSS) poprzez nazwę taksonomii. Zgłoszone przez Delta.
  6. Cross-site request forgery (CSRF) w Press This! co prowadzi do nadmiernego wykorzystania zasobów serwera. Zgłoszone przez Sipke Mellema.

Dziękujemy raportującym za głoszenia zgodne z praktyką odpowiedzialnego ujawniania (tekst po angielsku).

W uzupełnieniu do powyższych kwestii bezpieczeństwa, WordPress 4.7.3 zawiera 39 poprawek serwisowych dla serii 4.7. Aby uzyskać więcej informacji, zobacz informacje o wydaniu (tekst po angielsku) oraz zapoznaj się z listą zmian.

Pobierz WordPress 4.7.3 lub przejdź do kokpitu → Aktualizacje i kliknij „Zaktualizuj teraz”. Witryny które obsługują automatyczne aktualizacje powinny już być uaktualnione do WordPressa 4.7.3.

Dziekujemy wszystkim, którzy dołożyli się do wydania 4.7.3: Aaron D. Campbell, Adam Silverstein, Alex Concha, Andrea Fercia, Andrew Ozz, asalce, blobfolio, bonger, Boone Gorges, Boro Sitnikovski, Brady Vercher, Brandon Lavigne, Bunty, ccprog, chetansatasiya, David A. Kennedy, David Herrera, Dhanendran, Dion Hulse, Dominik Schilling (ocean90), Drivingralle, Ella Van Dorpe, Gary Pendergast, Ian Dunn, Ipstenu (Mika Epstein), James Nylen, jazbek, Jeremy Felt, Jeremy Pry, Joe Hoyle, Joe McGill, John Blackbourn, John James Jacoby, Jonathan Desrosiers, Kelly Dwan, Marko Heijnen, MatheusGimenez, Mike Nelson, Mike Schroder, Muhammet Arslan, Nick Halsey, Pascal Birchler, Paul Bearne, pavelevap, Peter Wilson, Rachel Baker, reldev, Robert O’Rourke, Ryan Welcher, Sanket Parmar, Sean Hayes, Sergey Biryukov, Stephen Edgar, triplejumper12, Weston Ruter, and wpfo.

WordPress 4.7.2 – Wydanie poprawiające bezpieczeństwo

WordPress 4.7.2 jest już dostępny. Wersja poprawia bezpieczeństwo we wszystkich poprzednich wersjach, a my zachęcamy do niezwłocznej aktualizacji witryn.

WordPress 4.7.1 oraz wcześniejsze wersje posiadają następujące podaności:

  1. Interfejs użytkownika służący do przypisywania taksonomii w „Press This” jest widoczny dla użytkowników, którzy nie mają uprawnień, aby go używać. Zgłoszone przez Davida Herrera Alley Interactive.
  2. Klasa WP_Query jest podatna na SQL injection (SQLi) podczas przetwarzania niebezpiecznych danych. Sam WordPress nie jest bezpośrednio narażony na ten problem, ale dodaliśmy zabezpieczenie, aby zapobiec przypadkowemu użycia podaności we wtyczkach i motywach. Zgłoszone przez Mo Jangda (batmoo).
  3. Podatność cross-site scripting (XSS) została odkryta w tabeli z listą wpisów. Zgłoszone przez Ian Dunn z WordPress Security Team.

Dziękujemy raportującym za głoszenia zgodne z praktyką odpowiedzialnego ujawniania (tekst po angielsku).

Pobierz WordPress 4.7.2 lub przejdź do kokpitu → Aktualizacje i kliknij „Zaktualizuj teraz”. Witryny które obsługują automatyczne aktualizacje powinny już być uaktualnione do WordPressa 4.7.2.

Dziękujemy wszystkim, którzy przyczynili się do 4.7.2.