WordPress 4.5.3 был выпущен сегодня, чтобы исправить семь важных проблем безопасности, которые затрагивают 4.5.2 и предыдущие версии. Автоматические фоновые обновления уже развернуты, и всем пользователям рекомендуется немедленно выполнить обновление. Релиз исправляет следующие проблемы безопасности:
- Обход редиректа в настройщике (сообщил Ясин Абукир )
- Две разные проблемы XSS с именами вложений (сообщили Йоуко Пиннонен и Дивьеш Праджапати )
- Раскрытие информации об истории изменений (сообщено независимо Джоном Блэкборном из команды безопасности WordPress и Дэном Моеном)
- Встроенный отказ в обслуживании (сообщено Дженнифер Додд из Automattic)
- Несанкционированное удаление категории из поста (сообщил Дэвид Эррера из Alley Interactive )
- Смена пароля с помощью украденного файла cookie (сообщил Майкл Адамс из команды безопасности WordPress)
- Некоторые менее безопасные пограничные случаи sanitize_file_name (сообщил Питер Вествуд из команды безопасности WordPress)
Множество различных компаний и независимых добровольцев работали вместе, чтобы ответственно раскрыть и исправить эти проблемы, чтобы сделать WordPress более безопасным. В выпуске также исправлено 17 ошибок из 4.5, 4.5.1 и 4.5.2. Объединение их всех в один выпуск безопасности и обслуживания означает меньшее количество обновлений для пользователей. Полный список исправлений, включенных в 4.5.3, см. в примечаниях к выпуску и закрытых заявках .
