No dia 19 deste mês foi lançada a versão 4.8.2 do WordPress. Esta é uma atualização de segurança para todas as versões anteriores, recomendamos que você atualize seus sites imediatamente.
As versões 4.8.1 e anteriores foram afetadas pelos seguintes problemas de segurança:
- O método
$wpdb->prepare()
pode criar consultas inseguras e fora do esperado, permitindo SQL injection (SQLi), isto é, alterações no modo como o banco de dados é manipulado. Os arquivos básicos do WordPress não são afetados por este problema, mas nós melhoramos o código para evitar que temas e plugins abram uma brecha de segurança acidentalmente. Relatado por Slavco. - Uma vulnerabilidade à execução de scripts de outros sites (XSS, do inglês Cross-Site Scripting) descoberta na análise dos oEmbed (elementos incorporados automaticamente no texto). Relatado por xknown da equipe de segurança do WordPress.
- Uma vulnerabilidade à execução de scripts de outros sites foi descoberta no editor visual. Relatado por Rodolfo Assis (@brutelogic) da Sucuri Security.
- Uma vulnerabilidade de exploração de diretórios (path traversal) foi descoberta no código de descompactação de arquivos. Relatado por Alex Chapman (noxrnet).
- Uma vulnerabilidade à execução de scripts de outros sites foi descoberta no editor de plugins. Relatado por 陈瑞琦 (Chen Ruiqi).
- Um redirecionamento sem validação foi encontrado nas telas de edição de termo e de usuário. Relatado por Yasin Soliman (ysx).
- Uma vulnerabilidade de exploração de diretórios foi descoberta no Personalizar. Relatado por Weston Ruter da equipe de segurança do WordPress.
- Uma vulnerabilidade à execução de scripts de outros sites foi encontrada nos nomes dos templates. Relatado por Luka (sikic).
- Uma vulnerabilidade à execução de scripts de outros sites foi descoberta na janela de edição de links. Relatado por Anas Roubi (qasuar).
Agradecemos a todos os que identificaram e relataram esses problemas pelo modo responsável como isso foi feito.
Além destas questões de segurança, o WordPress 4.8.2 contém 6 ajustes de manutenção para a série de versões 4.8. Para mais informações, leia as notas de lançamento ou consulte a lista de mudanças.
Faça o download do WordPress 4.8.2 ou navegue pelo Painel → Atualizações e clique em “Atualizar agora”. Sites com suporte a atualizações automáticas em segundo plano já começaram a se atualizar para o WordPress 4.8.2.
Agradecemos a todos que contribuíram para a versão 4.8.2.
Fonte: WordPress Brasil