WordPress 6.0.3 – Atualização de segurança

O WordPress 6.0.3 já está disponível!

Esta versão traz diversas atualizações de segurança. Por esta ser uma versão de segurança, é recomendável que você atualize seus sistemas imediatamente. Todas as versões desde o WordPress 3.7 também foram atualizadas.

O WordPress 6.0.3 é uma versão de manutenção de ciclo curto. O próximo grande lançamento será a versão 6.1 planejada para 1 de novembro de 2022.

Se você tiver sites que oferecem suporte a atualizações automáticas em segundo plano, o processo de atualização começará automaticamente.

Você pode baixar o WordPress 6.0.3 de WordPress.org, ou visitar o painel do WordPress, clicar em “Atualizações”, e então clicar em “Atualizar agora”.

Para mais informações sobre essa versão, visite o HelpHub.

Atualizações de segurança incluídas nesta versão

A equipe de segurança gostaria de agradecer às seguintes pessoas por relatar vulnerabilidades com responsabilidade e permitir que elas sejam corrigidas nesta versão.

  • XSS do tipo Stored via wp-mail.php (post por email) – Toshitsugu Yoneyama da Mitsui Bussan Secure Directions, Inc. via JPCERT.
  • Redirecionamentos abertos em ‘wp_nonce_ays` – devrayn.
  • Endereço de e-mail do remetente exposto em wp-mail.php – Toshitsugu Yoneyama of Mitsui Bussan Secure Directions, Inc. via JPCERT.
  • Biblioteca de mídia – XSS do tipo Reflected via SQLi – Ben Bidner do time de segurança do WordPress e Marc Montpas da Automattic descobriram independentemente essa vulnerabilidade.
  • CSRF no arquivo wp-trackback.php – Simon Scannell.
  • XSS do tipo Stored via Personalizar – Alex Concha do time de segurança do WordPress.
  • Revertida as instâncias de usuário compartilhadas introduzidas em 50790 – Alex Concha and Ben Bidner do time de segurança do WordPress.
  • XSS do tipo Stored no núcleo do WordPress via edição de comentários – Auditoria de segurança terceirizada e Alex Concha do time de segurança do WordPress.
  • Exposição de dados por meio do endpoint de termos/tags da API REST – Than Taintor.
  • Vazamento de conteúdos em emails – Thomas Kräftner.
  • Injeção de SQL devido à sanitização inadequada da função `WP_Date_Query` – Michael Mazzolini.
  • Widget de RSS: Problema de XSS do tipo Stored – Auditoria de segurança terceirizada.
  • XSS do tipo Stored no bloco de busca – Alex Concha do time de segurança.
  • Bloco de imagem destacada: Problema de XSS – Auditoria de segurança terceirizada.
  • Bloco de RSS: Problema de XSS do tipo Stored – Auditoria de segurança terceirizada.
  • Correção de XSS dos widgets de blocos – Auditoria de segurança terceirizada.

Agradecimentos

Esta versão foi liderada por Alex Concha, Peter Wilson, Jb Audras e Sergey Biryukov no controle da missão. Agradecemos a Jonathan Desrosiers, Jorge Costa, Bernie Reiter e Carlos Bravo por suas ajudas nas atualizações dos pacotes.

O WordPress 6.0.3 não teria sido possível sem a colaboração das pessoas a seguir. Suas contribuições para fornecer vários aprimoramentos e correções em uma versão estável é uma prova do poder e da capacidade da comunidade WordPress.

Alex Concha, Colin Stewart, Daniel Richards, David Baumwald, Dion Hulse, ehtis, Garth Mortensen, Jb Audras, John Blackbourn, John James Jacoby, Jonathan Desrosiers, Jorge Costa, Juliette Reinders Folmer, Linkon Miyan, martin.krcho, Matias Ventura, Mukesh Panchal, Paul Kevan, Peter Wilson, Robert AndersonRobin, Sergey Biryukov, Sumit Bagthariya, Teddy Patriarca, Timothy Jacobs, vortfu e Česlav Przywara.

Agradecemos também a @peterwilsoncc pela revisão.