Доступен WordPress 3.3.2 — обновление безопасности для всех предыдущих версий.

Для повышения безопасности были обновлены три внешние библиотеки, входящие в дистрибутив WordPress:

• Plupload (версии 1.5.4), которая используется в WordPress для загрузки файлов.
• SWFUpload, которая ранее использовалась в WordPress для загрузки файлов и до сих пор может использоваться плагинами.
• SWFObject, которая ранее использовалась в WordPress для вставки Flash-содержимого и до сих пор может использоваться плагинами и темами.

Благодарим Нила Пула и Нэйтана Партлана за ответственное раскрытие ошибок в Plupload и SWFUpload, а также Шимона Грушецки за сообщение о другой ошибке в SWFUpload.

WordPress 3.3.2 также содержит:

• Исправление ограниченного повышения привилегий, позволявшего администратору сайта при определённых обстоятельствах отключить плагины, активированные для всей сети. Уязвимость обнаружили Джон Кейв из команды безопасности WordPress и Адам Бэкстром.
• Исправление XSS-уязвимости при превращении URL-адресов в ссылки, обнаруженной Джоном Кейвом.
• Исправление XSS-уязвимостей в перенаправлениях после отправки комментариев в старых браузерах, а также при фильтрации URL-адресов. Спасибо Мауро Джентиле за ответственное раскрытие данных уязвимостей.

Эти проблемы были решены командой безопасности WordPress. Были также исправлены пять других ошибок. Подробности можно найти в списке изменений.

Скачайте версию 3.3.2 или воспользуйтесь автоматическим обновлением в меню «Консоль» → «Обновления».