WordPress 5.5.2 já está disponível! A versão de segurança e manutenção apresenta 14 correções de bugs, além de 10 correções de segurança. Como este é um lançamento de segurança, é recomendável que você atualize seus sites imediatamente. Todas as versões desde o WordPress 3.7 também foram atualizadas.
WordPress 5.5.2 é uma versão de segurança e manutenção de ciclo curto. O próximo lançamento principal será a versão 5.6. Você pode baixar o WordPress 5.5.2 baixando em WordPress.org ou visite seu Painel → Atualizações e clique em Atualizar agora.
Se você tiver sites que suportam atualizações automáticas em segundo plano, eles já iniciaram o processo de atualização.
Atualizações de Segurança
Sete problemas de segurança afetam as versões 5.5 e anteriores do WordPress. Se você ainda não atualizou para 5.5, todas as versões do WordPress desde 3.7 também foram atualizadas para corrigir os seguintes problemas de segurança:
- Agradecemos a Alex Concha da equipe de segurança do WordPress por seu trabalho no reforço de solicitações de desserialização.
- Agradecemos a David Binovec por uma correção para desativar a incorporação de spam em sites desativados de uma rede multisite.
- Agradecimentos a Marc Montas, da Sucuri, por relatar um problema que poderia levar ao uso de XSS de variáveis globais.
- Agradecimentos a Justin Tran que relatou um problema em torno do escalonamento de privilégios em XML-RPC. Ele também encontrou e divulgou um problema sobre o escalonamento de privilégios em torno de comentários de postagem via XML-RPC.
- Agradecemos a Omar Ganiev, que relatou um método em que um ataque DoS pode levar ao RCE.
- Agradecimentos a Karim El Ouerghemmi, da RIPS, que divulgou um método para armazenar XSS em pós-slugs.
- Agradecemos a Slavco por relatar, assim como Karim El Ouerghemmi, um método para contornar meta campos protegidos que poderia levar à exclusão arbitrária de arquivos.
- E uma agradecimento especial a @zieladam, que foi parte integrante de muitas das correções durante esta versão.
Agradecemos pela divulgação das vulnerabilidades em privado. Isso deu à equipe de segurança tempo para corrigir as vulnerabilidades antes que os sites WordPress pudessem ser atacados.
Photo by Fikret tozak on Unsplash