Доступен WordPress 3.3.2 — обновление безопасности для всех предыдущих версий.
Для повышения безопасности были обновлены три внешние библиотеки, входящие в дистрибутив WordPress:
- Plupload (версии 1.5.4), которая используется в WordPress для загрузки файлов.
- SWFUpload, которая ранее использовалась в WordPress для загрузки файлов и до сих пор может использоваться плагинами.
- SWFObject, которая ранее использовалась в WordPress для вставки Flash-содержимого и до сих пор может использоваться плагинами и темами.
Благодарим Нила Пула и Нэйтана Партлана за ответственное раскрытие ошибок в Plupload и SWFUpload, а также Шимона Грушецки за сообщение о другой ошибке в SWFUpload.
WordPress 3.3.2 также содержит:
- Исправление ограниченного повышения привилегий, позволявшего администратору сайта при определённых обстоятельствах отключить плагины, активированные для всей сети. Уязвимость обнаружили Джон Кейв из команды безопасности WordPress и Адам Бэкстром.
- Исправление XSS-уязвимости при превращении URL-адресов в ссылки, обнаруженной Джоном Кейвом.
- Исправление XSS-уязвимостей в перенаправлениях после отправки комментариев в старых браузерах, а также при фильтрации URL-адресов. Спасибо Мауро Джентиле за ответственное раскрытие данных уязвимостей.
Эти проблемы были решены командой безопасности WordPress. Были также исправлены пять других ошибок. Подробности можно найти в списке изменений.
Скачайте версию 3.3.2 или воспользуйтесь автоматическим обновлением в меню «Консоль» → «Обновления».