WordPress 5.8.3 – Atualização de Segurança

Esta atualização apresenta quatro correções de segurança. Como este é um lançamento de segurança, é recomendável que você atualize seus sites imediatamente. Todas as versões desde o WordPress 3.7 também foram atualizadas.

O WordPress 5.8.3 é uma versão de segurança de ciclo curto. O próximo grande lançamento será a versão 5.9 , que já está no estágio de Release Candidate.

Você pode atualizar para o WordPress 5.8.3 baixando em WordPress.org ou visitando seu Painel → Atualizações e clicando em Atualizar agora.

Se você tiver sites que suportam atualizações automáticas em segundo plano, eles já iniciaram o processo de atualização.

Atualizações de Segurança

Quatro problemas de segurança afetam as versões do WordPress entre 3.7 e 5.8. Se você ainda não atualizou para a versão 5.8, todas as versões do WordPress desde 3.7 também foram atualizadas para corrigir os seguinte problemas (exceto onde indicado de outra forma):

  • Agradecemos a Karim El Ouerghemmi e Simon Scannell da SonarSource por encontrar uma vulnerabilidade a XSS no armazenamento de slugs de posts.
  • Agradecemos a Simon Scannell da SonarSource por relatar um problema com injeção de objeto em algumas instalações multisite.
  • Agradecemos a ngocnb e khuyenn de GiaoHangTietKiem JSC por trabalhar com a Trend Micro Zero Day Initiative em relatar uma vulnerabilidade de injeção de SQL na WP_Query.
  • Agradecemos a Ben Bidner da equipe de segurança do WordPress por relatar uma vulnerabilidade de injeção de SQL na WP_Meta_Query (relevante apenas para as versões 4.1-5.8).

Agradecemos a todos os colaboradores acima por divulgarem as vulnerabilidades em particular. Isso deu à equipe de segurança tempo para corrigir as vulnerabilidades antes que os sites do WordPress pudessem ser atacados. Agradecemos também aos membros da equipe de segurança do WordPress por implementar essas correções no WordPress.

Para obter mais informações, consulte a página de documentação do 5.8.3 HelpHub .

Agradecimentos!

A versão 5.8.3 foi liderada por @ desrosj e @ circlecube .

Além dos pesquisadores de segurança e membros do esquadrão de lançamento mencionados acima, agradecemos a todos que ajudaram a fazer o WordPress 5.8.3 acontecer:

Alex Concha, Dion Hulse, Dominik Schilling, ehtis, Evan Mullins, Jake Spurlock, Jb Audras, Jonathan Desrosiers, Ian Dunn, Peter Wilson, Sergey Biryukov, vortfu e zieladam.

WordPress 4.9.1 – Atualização de segurança e manutenção

O WordPress 4.9.1 já está disponível. Essa é uma atualização de segurança e manutenção para todas as versões a partir do WordPress 3.7. Encorajamos que você atualize seus sites imediatamente.

As versões 4.9 e anteriores do WordPress foram afetadas por quatro problemas de segurança que podem ser explorados como parte de um ataque multivetor. Como parte do compromisso da equipe dos arquivos básicos de aumentar a segurança, os seguintes ajustes foram implementados na versão 4.9.1:

  1. Uso de um hash gerado apropriadamente para a chave newbloguser ao invés de uma determinada substring.
  2. Tratamento dos atributos de idiomas nos elementos html.
  3. Verificação do escape dos fechamentos dos atributos em feeds RSS e Atom.
  4. Remoção da habilidade de subir arquivos JavaScript para usuários que não tenham a capacidade unfiltered_html.

Agradecemos a todos os que identificaram e relataram esses problemas pelo modo responsável como isso foi feito: Rahul Pratap Singh e John Blackbourn.

Outros onze erros foram resolvidos no WordPress 4.9.1. Os mais importantes foram:

  • Problemas relacionados ao cache de arquivos de templates nos temas.
  • Um erro de JavaScript no MediaElement que não permitia que os usuários de determinados idiomas subissem arquivos de mídia.
  • A impossibilidade de editar arquivos de temas e plugins em servidores Windows.

Para saber mais, acesse este post com mais informações sobre todos os problemas ajustados na versão 4.9.1.

Baixe o WordPress 4.9.1 ou visite o Painel → Atualizações e simplesmente clique em “Atualizar agora”. Sites com suporte a atualizações automáticas em segundo plano já começaram a se atualizar.

Agradecemos a todos que contribuíram para o WordPress 4.9.1:

Alain Schlesser, Andrea Fercia, Angelika Reisiger, Blobfolio, bobbingwide, Chetan Prajapati, Dion Hulse, Dominik Schilling (ocean90), edo888, Erich Munz, Felix Arntz, Florian TIAR, Gary Pendergast, Igor Benic, Jeff Farthing, Jeffrey Paul, jeremyescott, Joe McGill, John Blackbourn, johnpgreen, Kelly Dwan, lenasterg, Marius L. J., Mel Choyce, Mário Valney , natacado, odyssey, precies, Saša, Sergey Biryukov, and Weston Ruter.

WordPress agora está na HackerOne

O WordPress cresceu muito nos últimos 13 anos e agora ele está por trás de mais de 28% dos 10 milhões de sites de maior destaque na Web. Durante este crescimento, cada equipe do WordPress trabalhou com afinco para melhorar continuamente suas ferramentas e processos. Hoje, a Equipe de Segurança do WordPress tem o prazer de anunciar que agora o WordPress está oficialmente na HackerOne!

HackerOne é uma plataforma criada para que pesquisadores em segurança possam comunicar a nossa equipe as vulnerabilidades por eles encontradas, de maneira segura e responsável. Ela dispõe de ferramentas que melhoram a qualidade e consistência da comunicação com estes pesquisadores, e permite reduzir o tempo gasto em responder problemas mais comuns já relatados. Isso libera nossa equipe para despender mais tempo trabalhando em melhorias na segurança do WordPress.

A equipe de segurança do WordPress tem trabalhado neste projeto já faz algum tempo. Nikolay Bachiyski iniciou a equipe de trabalho há um pouco mais de um ano. O projeto rodou como um programa privado enquanto nós desenvolvíamos nossos procedimentos e processos, e estamos entusiasmados em finalmente torná-lo público.

Com o anúncio do programa WordPress HackerOne, também apresentamos o programa de recompensas Bug Bounties (ou “recompensas por bugs”, em Português). O Bug Bounties nos permite recompensar aqueles nos comunicam bugs e brechas encontradas, além de nos auxiliar a manter mais seguro nossos produtos e infraestrutura. Nós já distribuímos mais de US$ 3.700 em recompensas a sete diferentes pesquisadores! Ficamos agradecidos a Automattic por pagar estas recompensas em nome do projeto WordPress.

O programa e as recompensas se estendem a todos os nossos projetos, incluindo WordPress, BuddyPress, bbPress, GlotPress e WP-CLI, bem como todos os nossos websites, incluindo WordPress.org, bbPress.org, WordCamp.org, BuddyPress.org e GlotPress.org.