È disponibile WordPress 4.9.1. Questa è una release di mantenimento e sicurezza per tutte le versioni a partire dalla 3.7. Vi incoraggiamo caldamente ad aggiornare i vostri siti al più presto.
La versione 4.9 e le precedenti di WordPress sono soggette a quattro vulnerabilità che potrebbero essere utilizzate per attacchi multi-vector.
Nell’ottica dell’impegno costante del team Core per migliorare la sicurezza, sono state apportate le seguenti correzioni nella versione 4.9.1:
- Utilizzo di un hash generato in modo corretto per la chiave
newbloguserinvece di una determinata sottostringa. - Aggiunta di escaping agli attributi di linguaggio usati negli elementi
html. - Controllo che gli attributi delle enclosure vengano gestiti correttamente (escaped) nei feed RSS e Atom.
- Rimozione della possibilità di caricare dei file JavaScript per gli utenti che non hanno un ruolo che consente di pubblicare
unfiltered_html.
Grazie a Rahul Pratap Singh and John Blackbourn per aver segnalato queste vulnerabilità in modo responsabile.
Oltre a questi problemi, WordPress risolve altri undici bug. Da segnalare in particolare:
- Problemi con il caching dei file di template dei temi.
- Un errore Media Element JavaScript che impedisce agli utenti di alcune versioni tradotte di caricare i file nella libreria media.
- L’impossibilità di modificare file di temi e plugin su server Windows.
Se volete approfondire, questo articolo ha altre informazioni sui bug risolti dalla versione 4.9.1.
Scaricate WordPress 4.9.1 o andate in Dashboard → Aggiornamenti e semplicemente cliccate su “Aggiorna Ora”. I siti che supportano gli aggiornamenti automatici stanno già iniziando l’aggiornamento a WordPress 4.9.1.
Grazie a tutti quelli che hanno contribuito alla release 4.9.1:
Alain Schlesser, Andrea Fercia, Angelika Reisiger, Blobfolio, bobbingwide, Chetan Prajapati, Dion Hulse, Dominik Schilling (ocean90), edo888, Erich Munz, Felix Arntz, Florian TIAR, Gary Pendergast, Igor Benic, Jeff Farthing, Jeffrey Paul, jeremyescott, Joe McGill, John Blackbourn, johnpgreen, Kelly Dwan, lenasterg, Marius L. J., Mel Choyce, Mário Valney, natacado, odyssey, precies, Saša, Sergey Biryukov, and Weston Ruter.