WordPress 4.7.2 jest już dostępny. Wersja poprawia bezpieczeństwo we wszystkich poprzednich wersjach, a my zachęcamy do niezwłocznej aktualizacji witryn.
WordPress 4.7.1 oraz wcześniejsze wersje posiadają następujące podaności:
- Interfejs użytkownika służący do przypisywania taksonomii w „Press This” jest widoczny dla użytkowników, którzy nie mają uprawnień, aby go używać. Zgłoszone przez Davida Herrera Alley Interactive.
- Klasa
WP_Queryjest podatna na SQL injection (SQLi) podczas przetwarzania niebezpiecznych danych. Sam WordPress nie jest bezpośrednio narażony na ten problem, ale dodaliśmy zabezpieczenie, aby zapobiec przypadkowemu użycia podaności we wtyczkach i motywach. Zgłoszone przez Mo Jangda (batmoo). - Podatność cross-site scripting (XSS) została odkryta w tabeli z listą wpisów. Zgłoszone przez Ian Dunn z WordPress Security Team.
Dziękujemy raportującym za głoszenia zgodne z praktyką odpowiedzialnego ujawniania (tekst po angielsku).
Pobierz WordPress 4.7.2 lub przejdź do kokpitu → Aktualizacje i kliknij „Zaktualizuj teraz”. Witryny które obsługują automatyczne aktualizacje powinny już być uaktualnione do WordPressa 4.7.2.
Dziękujemy wszystkim, którzy przyczynili się do 4.7.2.