WordPress的4.1.2现已推出。这是一个关键的安全释放所有先前版本,我们强烈建议您立即更新您的网站。
WordPress的版本4.1.1及更早版本都受到一个关键的跨站点脚本漏洞,可能允许匿名用户妥协的站点。这是报告的塞德里克·范·Bockhaven和固定由加里潘德加,麦克亚当斯和WordPress的安全团队的安德鲁Nacin。
我们也固定其他三个安全问题:
在WordPress的4.1及更高版本,无效或不安全名的文件可能被上传。由迈克尔Kapfer和HSASec的塞巴斯蒂安克雷默发现。
在WordPress的3.9及更高版本,一个非常有限的跨站点脚本漏洞可能被用来作为一个社会工程攻击的一部分。由的Jakub Zoczek发现。
一些插件是容易受到SQL注入漏洞。由WordPress的安全团队的奔Bidner发现。
我们也做了四硬化的变化,由JD污秽,Divyesh生主,艾伦·柯林斯和马克 – 亚历山大Montpas发现。
我们将负责任地披露这些问题直接欣赏到我们的安全团队。欲了解更多信息,请参见发行说明或咨询更改列表。
下载WordPress的4.1.2或冒险过来仪表盘→更新,简单地点击“立即更新”。支持自动后台更新已经开始升级到4.1.2的WordPress站点。
感谢大家谁促成了4.1.2:阿伦·科林斯,亚历克斯孔查,安德鲁Nacin,安德鲁OZZ,本Bidner,布恩三峡,翁赫尔斯,多米尼克林女士,德鲁杰恩斯,加里·彭德格斯特,海伦·侯三迪,约翰·Blackbourn,和Mike亚当斯。
一些插件也发布了安全补丁昨日。把一切都更新为保持安全。如果你是一个插件作者,请阅读这篇文章,以确认你的插件是不是受了同样的问题。感谢所有谁一直与我们的安全团队,以确保作出协调一致的反应插件作者。
已经在测试的WordPress 4.2?第三个候选版本现已(ZIP),它包含这些修补程序。欲了解更多有关4.2,看到RC 1发布后。