WordPress 3.5.2 теперь доступен. Это — второй выпуск обслуживания 3.5, исправлены 12 ошибок. Этот выпуск безопасности для всех предыдущих версий, и мы очень просим Вас немедленно обновить свои сайты. Служба безопасности WordPress решила семь вопросов безопасности и этот выпуск также содержит некоторое дополнительное укрепление безопасности.
Исправления, связанные с безопасностью движка:
1. Блокировка атак серверной подделки запроса (SSRF), используемых злоумышленниками для проникновения на сайт.2. Устранение уязвимостей, в результате которых возможно повышение прав пользователей на сайте. В связи с этим блокируется повышение прав до возможности публиковать статьи и переназначать авторства сообщения .3. Обновление внешней библиотеки SWFUpload для устранения уязвимости межсайтового скриптинга (XSS).4. Предотвращение DoS атак, выполненных с помощью вычисления хэша пароля при обработке защищенного паролем сообщения.5. Обновление для внешней библиотеки TinyMCE для исправления уязвимости межсайтового скриптинга.6. Множество исправлений для уязвимости межсайтового скриптинга.7. Защита раскрытия полного пути к файлу в результате сбоев.Как видно из выше перечисленного, в данном обновлении исправлено много весьма серьезных уязвимостей, эксплуатация которых может принести много серьезных неприятностей. Напомню, что выпуск подобных обновлений, направленных на устранение брешей в безопасности играет на руку и злоумышленникам. Поскольку, путем сравнения старой и новой версии можно легко увидеть эти уязвимости и использовать их против сайтов, не успевших обновиться. Поэтому, при выходе таких обновлений действовать нужно незамедлительно.Мы ценили ответственное раскрытие этих проблем непосредственно нашей службе безопасности. Для получения дополнительной информации об изменениях см. информацию о версии или консультируйтесь со списком изменений.
WordPress 3.5.2 загрузки или обновление теперь от Приборной панели → меню Updates в admin области Вашего сайта.