O WordPress 4.7.5 já está disponível. Esta é uma atualização de segurança para todas as versões anteriores, recomendamos que você atualize seus sites imediatamente.
As versões 4.7.4 e anteriores do WordPress foram afetadas por seis problemas de segurança:
- Validação insuficiente dos redirecionamentos na classe HTTP. Relatado por Ronni Skansing.
- Manipulação imprópria dos valores dos metadados dos posts na API XML-RPC. Relatado por Sam Thomas.
- Falta de verificação de capacidades para os metadados dos posts na API XML-RPC. Relatado por Ben Bidner da equipe de segurança do WordPress.
- Uma vulnerabilidade a ataques por falsificação de solicitação entre sites (CRSF, do inglês Cross Site Request Forgery) descoberta na troca de informações sobre credenciais no sistema de arquivos. Relatado por Yorick Koster.
- Uma vulnerabilidade a execução de scripts de outros sites (XSS, do inglês Cross-Site Scripting) descoberta na tentativa de uploads de arquivos grandes. Relatado por Ronni Skansing.
- Uma vulnerabilidade a XSS relacionada ao Personalizar. Relatado por Weston Ruter da equipe de segurança do WordPress.
Agradecemos a todos os que identificaram e relataram esses problemas pelo modo responsável como isso foi feito.
Além destas questões de segurança, o WordPress 4.7.5 contém 3 ajustes de manutenção para a série de versões 4.7. Para mais informações, leia as notas de lançamento ou consulte a lista de mudanças.
Faça o download do WordPress 4.7.5 ou navegue pelo Painel Atualizações e clique em “Atualizar agora”. Sites com suporte a atualizações automáticas em segundo plano já começaram a se atualizar para o WordPress 4.7.5.
Agradecemos a todos que contribuíram para a versão 4.7.5.