WordPress 4.5.3 исправляет 7 проблем с безопасностью

WordPress 4.5.3 был выпущен сегодня, чтобы исправить семь важных проблем безопасности, которые затрагивают 4.5.2 и предыдущие версии. Автоматические фоновые обновления уже развернуты, и всем пользователям рекомендуется немедленно выполнить обновление. Релиз исправляет следующие проблемы безопасности:

• Обход редиректа в настройщике (сообщил Ясин Абукир )
• Две разные проблемы XSS с именами вложений (сообщили Йоуко Пиннонен и Дивьеш Праджапати )
• Раскрытие информации об истории изменений (сообщено независимо Джоном Блэкборном из команды безопасности WordPress и Дэном Моеном)
• Встроенный отказ в обслуживании (сообщено Дженнифер Додд из Automattic)
• Несанкционированное удаление категории из поста (сообщил Дэвид Эррера из Alley Interactive )
• Смена пароля с помощью украденного файла cookie (сообщил Майкл Адамс из команды безопасности WordPress)
• Некоторые менее безопасные пограничные случаи sanitize_file_name (сообщил Питер Вествуд из команды безопасности WordPress)

Множество различных компаний и независимых добровольцев работали вместе, чтобы ответственно раскрыть и исправить эти проблемы, чтобы сделать WordPress более безопасным. В выпуске также исправлено 17 ошибок из 4.5, 4.5.1 и 4.5.2. Объединение их всех в один выпуск безопасности и обслуживания означает меньшее количество обновлений для пользователей. Полный список исправлений, включенных в 4.5.3, см. в примечаниях к выпуску и закрытых заявках .