WordPress 5.7.2 安全更新

WordPress 5.7.2 现已发布。

此次安全更新包含一个安全修复补丁。因这是一次安全版本更新,我们建议您立即更新您的站点。自 WordPress 3.7以来的所有主要 WordPress 版本均已发布了安全更新。

WordPress 5.7.2 是一个短周期的“安全更新”版本。下一主要版本将是 5.8。

您可以从 cn.WordPress.org 下载并更新到 WordPress 5.7.2,或访问您站点的“仪表盘→更新”页面,点击立即更新。

如果您的站点支持后台自动更新,则自动更新任务现在可能已经完成。

安全更新

一项安全问题会影响3.7至5.7之间的各个 WordPress 版本。如果您尚未更新到5.7 版本,则自3.7以来的所有主要 WordPress 版本均已发布了安全更新,以修复以下安全问题:

感谢为 WordPress 开源项目作出修复工作的 WordPress 安全团队成员。

更多信息请参考5.7.2版本 HelpHub 文档页面。

鸣谢和支持!

版本 5.7.2的发布由 @peterwilsoncc@audrasjb 领头。

感谢所有帮助 WordPress 5.7.2 实现目标的社区成员。 @audrasjb@ayeshrajans@desrosj@dd32@peterwilsoncc@SergeyBiryukov@xknown

wordpress 5.7.1安全和维护版本

WordPress 5.7.1 现已发布!

此安全和维护版本包括两个安全性修复及26个错误修复。由于这是一个安全维护版本,因此建议您立即更新您的站点。自 WordPress 4.7 以来的所有版本也提供了安全更新。

WordPress 5.7.1是一个短周期的安全和维护版本。下一个主要版本将是5.8。

您可以从此处下载WordPress 5.7.1,或者访问您站点的仪表盘→更新,然后点击现在更新。

如果您的站点支持后台自动更新,则更新过程已经开始。

安全更新

两个安全问题会影响4.7至5.7之间的WordPress版本。如果您还没有更新到5.7,则4.7以后的所有WordPress版本也已经发布了安全更新,并修复了以下安全问题:

  • 感谢SonarSource报告了一个影响 PHP 8 的媒体库的 XXE 漏洞。
  • 感谢Mikael Korpela报告了一个REST API中的数据暴露漏洞。

感谢所有秘名披露漏洞的报告者。得以让安全团队有时间在WordPress站点被攻击之前修复了这些漏洞。

Adam ZielinskiPascal BirchlerPeter WilsonJuliette Reinders FolmerAlex ConchaEhtisham SiddiquiTimothy Jacobs以及WordPress安全团队的支持下,这些问题得到了解决。

如需了解更多信息,请浏览 Trac 上的 完整更改列表,或查阅 版本 5.7.1 HelpHub 文档页面

感谢和支持

5.7.1的版本发布由 (@peterwilsoncc) 和 (@audrasjb) 领头。

除上面提到的安全研究人员和发布小队成员,我们还要感谢所有帮助WordPress 5.7.1实现目标的贡献者:

99wAdam SilversteinAndrew OzzannalamprouanotherdaveAri StathopoulosAyesh KarunaratnebobbingwideBrechtDaniel RichardsDavid BaumwalddkooDominik SchillingdragongateeatsleepcodeElla van DurpeErikFabian PimmingerFelix ArntzFlorian TIARgab81Gal BarasGeoffreyGeorge MamadashviliGlen DaviesGreg ZiółkowskigrzimIpstenu (Mika Epstein)Jake SpurlockJayman PandyaJb AudrasJoen A.Johan Jonk StenströmJohannes KinastJohn BlackbournJohn James JacobyJonathan DesrosiersJosee WoutersJoyk3nsaiKelly Choyce-DwanKerry LiuMarius L. J.Mel Choyce-DwanMikhail KobzarevmmuyskensMukesh Panchalnicegamer7Otshelnik-FmPaal Joachim RomdahlpalmiakPascal BirchlerPeter WilsonpwallnerRachel BakerRiad BenguellaRinat KhazievRobert AndersonRoger TheriaultSergey BiryukovSergey YakimovSirStueystefanjoebstlStephen BernhardtSumit SinghSybre WaaijerSynchroTerri AnntigertechTimothy JacobstmatsuurTobiasBgTonya MorkToru MikiUlrichVlad T

WordPress 4.0.1安全更新

WordPress 4.0.1现已发布,这是一次对所有较早版本的重要安全更新,我们强烈建议您立即升级您的站点。

支持后台自动更新的站点将在未来几个小时内被自动升级到WordPress 4.0.1。如果您仍在使用WordPress 3.9.2、3.8.4或3.7.4,请升级到3.9.3、3.8.5或3.7.5来保证您站点的安全性。(我们不对旧版本提供支持,所以也请考虑升级到4.0.1来使用我们最新最强大的版本。)

WordPress 3.9.2与更早版本均受一严重的跨站脚本漏洞影响,可能使匿名用户危害站点安全。此漏洞由Jouko Pynnonen报告。这项问题并不影响4.0版,但4.0.1版也修正了如下8个安全问题:

  • 三个可被网站文章作者利用的跨站脚本问题,由Jon CaveRobert Chapin与WordPress安全团队的John Blackbourn发现。
  • 一个可能被用来诱使用户修改密码的跨站请求伪造。
  • 一项在检查密码时可能引发拒绝服务的问题,由Javier Nieto ArevaloAndres Rojas Guerrero发现。
  • 在WordPress发起HTTP请求时对服务器侧请求伪造攻击的额外防护,由Ben Bidner(vortfu)报告。
  • 一项极不可能发生的散列碰撞,可能导致2008年之后从未登录过的账户被盗,由David Anderson报告。
  • WordPress现在会在用户想起密码、登录并修改电子邮件地址后使早前发出的密码重设邮件中的链接失效,由Momen BasselTanoy BoseManageWP的Bojan Slavković独立报告。

4.0.1版也修正了4.0中的23个bug,我们也做出了两项强化修改,包括在从上传的照片中提取EXIF数据时进行更好的验证,由Chris Andrè Dale报告。

我们感谢这些问题被负责任地透漏给我们的安全小组。要获取更多信息,请参见发布说明或查阅修改列表

下载WordPress 4.0.1简体中文版或在仪表盘→更新中点击“现在更新”。

已经在测试WordPress 4.1了?包含这些安全更新的beta 2现已发布(zip)。更多有关4.1的信息,请参见beta 1发布说明

WordPress 3.6.1维护和安全更新

在WordPress 3.6有了近七百万次下载之后,我们高兴地发布了3.6.1版。这个维护性更新修正3.6版中的13个bug

WordPress 3.6.1也是对之前所有WordPress版本的安全修正,我们强烈推荐您升级您的站点。这次发布包含了我们的安全团队做出的三项修正:

  • 阻止一些情形中可能出现的不安全的PHP反序列化,这可能导致远程代码执行。由Tom Van Goethem报告。
  • 防止”作者”用户通过一个特制的请求来创建“由其他用户创作”的文章。由Anakorn Kyavatanakij报告。
  • 修正了可能导致用户被重定向到引导到其他网站的一处输入验证不足。由Dave Cummo,Northrup Grumman的美国疾病控制和预防中心分包商报告。

此外,我们也调整了上传文件时的安全限制,来防止可能出现的跨站脚本。

我们感谢这些问题被负责任地透漏给我们的安全小组。要获取更多资讯,请参见发布说明或查阅修改列表

下载WordPress 3.6.1 (简体中文版)或到管理后台的“仪表盘”→“更新”来升级。

WordPress 3.5.2 安全和维护更新

WordPress 3.5.2 简体中文版现已可用。这是 3.5 版本的第二个维护性发布,修复了 12 个 bug这是对所有之前版本的安全更新,我们推荐您立即升级您所有的站点。WordPress 安全小组解决了 7 项安全问题,并且这次发布也包含了其他一些安全强化措施。

安全修复包括:

  • 阻止了服务器端伪造请求攻击。该问题可能使得攻击者取得网站的权限。
  • 禁止了贡献者不适当地发布文章或修改文章的作者,分别由 Konstantin KovsheninLuke Bryan 报告。
  • 更新了 SWFUpload 外部库来修复跨站脚本隐患,由 mala 和 Szymon Gruszecki 报告。
  • 阻止了一种拒绝服务攻击,这种攻击可能影响到使用受密码保护的文章的网站。
  • 更新了 TinyMCE 外部库来修复跨站脚本隐患,由 Wan Ikram 报告。
  • 修复了多种跨站脚本,由 Andrea Santese 和 Rodrigo 报告。
  • 避免了在文件上传失败时透露完整路径,由 Jakub Galczyk 报告。

我们感谢将这些问题负责任地透漏给我们的安全小组。要获取更多资讯,请参见发布说明或查阅修改列表

下载 WordPress 3.5.2简体中文版)或到管理后台的“仪表盘”→“更新”来升级。

此外: WordPress 3.6 Beta 4: 如果您在测试 WordPress 3.6,请留意 WordPress 3.6 Beta 4(zip)修复了这些安全问题。

WordPress 3.5.1

WordPress 3.5.1 简体中文版本现已可用。版本修复 37 个问题。这也是一个安全更新。完整的问题列表请参见 ticket 列表changelog。梗概如下:

  • 编辑器:解决 HTML 元素可能意外消失的问题。
  • 多媒体:修正若干小工作流程问题和兼容性问题。
  • 多站点:在创建新网络的时候提示使用正确的重写规则。
  • 避免定时发布的一些 HTML 标签在发布时消失的问题。
  • 临时解决了错误配置可能造成的仪表盘 JavaScript 异常的问题。
  • 隐藏了插件错误使用数据库或用户 API 时的警告。

由于一个程序问题,Windows 上运行 IIS 的用户无法自动从 3.5 升级到 3.5.1。参见热心用户翻译的文档来手动升级。

WordPress 3.5.1 解决的安全问题如下:

  • 使用 pingback 的远程端口扫描问题。该问题可能导致服务器信息泄露,或被攻击。这个问题影响所有的 WordPress 版本。特别感谢安全研究员 Gennady Kovshenin 和 Ryan Dewhurst 评估我们的工作。
  • shortcode 和文章内容的两处跨站攻击漏洞。由 WordPress 安全小组 Jon Cave 发现。
  • 外部库 Plupload 的跨站漏洞。感谢 Moxiecode 开发者和我们一起研究、解决问题,感谢他们发布 Plupload 1.5.5。

现在下载 3.5.1,或到“仪表盘” → “更新”来升级。

WordPress 3.4.2

WordPress 3.4.2 现已发布。3.4.2 版本是个维护版本,包含对先前所有版本的安全更新。

在短短的不到三个月的时间里,WordPress 3.4 系列已经创造了近一千五百万次下载的佳绩,其中简体中文版本贡献了五百余万次的下载。本次包含的修正有:

  • 解决老旧浏览器使用后台时可能遇到的问题。
  • 解决主题预览和/或截图显示不正确的问题。
  • 增强了可视化编辑器的插件兼容性。
  • 解决了某些固定链接包含分类目录的站点可能遇到的分页问题。
  • 优化了代码,避免 oEmbed 提供商和 trackback 出错。
  • 禁止了大小不正确的顶部图像的上传。

3.4.2 版本还解决了一些安全问题。之前版本可能遇到的问题有:用户越权等。本次的安全问题全部是由 WordPress 的安全小组发现的。

下载 3.4.2 版本,或通过您的“仪表盘” → “更新”来自动升级。

WordPress 3.4.1 安全和维护更新

WordPress 3.4.1 中文版本现已发布。WordPress 3.4 版本的发布相当顺利,而且下载量十分可观 —— 两周内所有语言版本全球下载总量突破了三百万,中文版本下载量也突破了 50 万,位列本地化版本之首。我们对您的支持深表感谢!

本维护版本修正了 3.4 中存在的 18 个问题,包括:

  • 修正主题中的页面模版有时不识别的问题。
  • 修复固定链接结构的问题。
  • 修正了插件/主题载入 JavaScript 的问题。
  • 提前支持 iOS 6 上的浏览器文件上传功能。
  • 新代码重新允许插件可以得知自己是被在单站点启用,抑或是被在整个站点网络启用。
  • 修正了在某些 PHP 版本(5.2.4 和 5.4)上、某些特殊 PHP 配置环境下(safe mode 安全模式、open_basedir 限制)不能发送邮件的问题。

3.4.1 版本还修复了几个安全问题、增强了安全设计。3.4 中包含的几个漏洞有可能导致信息泄露,以及影响有不可信用户的多站点网络。这些问题是由 WordPress 安全小组发现并修正的。

由此下载 3.4.1 版本,或通过您的“仪表盘” → “更新”来升级。

WordPress 3.3.2

WordPress 3.3.2 现已推出。这是对以往版本的安全更新。

如下 WordPress 包含的外部库推出了安全更新:

  • Plupload(1.5.4 版本) — WordPress 用它来完成媒体文件的上传。
  • SWFUpload — WordPress 原先使用的库,用于上传媒体文件,一些插件可能仍在使用它。
  • SWFObject — WordPress 原先用来嵌入 Flash 内容的库,一些插件和主题可能仍在使用它。

感谢 Neal Poole 和 Nathan Partlan 向我们安全小组的反馈关于 Plupload 和 SWFUpload 的问题。感谢 Szymon Gruszecki 找出了另一个 SWFUpload 问题。

WordPress 3.3.2 一并修补了如下问题:

  • 在 WordPress “站点网络”功能启用的环境下,站点管理员有可能在整个站点网络范围停用某个插件。多谢安全小组 Jon Cave 和 Adam Backstrom
  • URL 自动链接的算法可能允许跨站脚本攻击。这个问题是 Jon Cave 找到的。
  • 过滤 URL 的算法可能允许跨站脚本攻击。感谢 Mauro Gentile 向安全小组的热心反馈。

上述问题是 WordPress 安全小组修复的。本版本另修复了 5 个非安全问题。详情请参见修订日志

下载 WordPress 3.3.2,或从您站点的“仪表盘” → “更新”菜单升级。

WordPress 3.3.1 安全和维护更新

WordPress 3.3.1 现已发布。本维护版本修复了 3.3 版本的 15 处问题,另外还有一个影响了 3.3 的跨站脚本攻击漏洞。感谢 Joshua H.、Hoang T.、Stefan Zimmerman、Chris K. 和 Go Daddy 安全小组向我们的安全团队上报该问题。

下载 3.3.1,或通过您站点后台的“仪表盘” → “更新”来升级。