2020年10月29日,wordpress 5.5.2 向公众发布。wpexp 众多站点在凌晨自动更新至 wordpress 5.5.2 版本。wordpress 5.5.2 版本修补了 10 个安全漏洞以及修正了 14 个问题。
对于自动更新已停用的小伙伴,比如启用了automatic_updater_disabled
过滤器,可点击仪表盘→更新来执行强制进行 wordpress 更新检查。由于涉及 wordpress 安全性问题,wpexp 强烈建议更新此版本!
安全更新
十个安全问题会影响 wordpress 5.5 及更早版本;5.5.2 版修复了这些问题,因此您需要升级。如果尚未更新到 5.5,则还有 5.4 和更早版本的更新版本可解决安全问题。
- wordpress 安全团队的 alex concha 在加强反序列化请求方面的工作。
- 支持 david binovec 的修复程序,以禁用来自多站点网络上已禁用站点的垃圾邮件嵌入。
- 感谢 sucuri 的 marc montas 报告了一个可能导致全局变量导致 xss 的问题。
- 感谢 justin tran 报告了有关 xml-rpc 中特权升级的问题。他还发现并公开了有关通过 xml-rpc 发表评论的特权升级的问题。
- 向 omar ganiev 提出的建议,他报告了一种dos攻击可能导致 rce 的方法。
- 感谢 rips 的 karim el ouerghemmi 公开了一种将 xss 存储在后段塞中的方法。
- 感谢 slavco 的报告以及 karim el ouerghemmi 的确认,这是一种绕过受保护的 meta 的方法,该方法可能导致任意文件删除。
- 特别感谢@zieladam,他在此发行版的许多发行版和补丁中都是不可或缺的。
顶部↑
维护更新
wordpress 5.5.2还修复了5.5版中引入的一些回归:
- 51130 –事件在场所时区而非用户的时区中显示
- 51659 –更新 wordpress 5.5.2 的 gutenberg 古腾堡依赖关系
- 50861 –删除 facebook 和 instagram 作为嵌入源
- 50903 –默认情况下,将本地环境设置为开发环境类型
- 50949 –用户与网站所在时区不同时,帖子显示错误时间
- 51053 –设置为向左对齐的视频嵌入在古腾堡编辑器中消失了
- 51175 –错误的回复框标题
- 51219–主题编辑器页面显示未定义的变量通知
- 51251 –修复打开编辑图像弹出窗口时的php通知
- 51263 –在管理注释编辑屏幕中编辑注释时,php 警告
- 51320-将帖子移至垃圾桶时的 php 声明(post_type 具有2个已注册的分类法,均已设置 default_term)
- 51400 –自动插件/主题更新期间未定义的索引
- 51595 –无法通过 xml-rpc 进行匿名评论
- 51645 –未定义索引:核心文件中的回显