Ya está disponible WordPress 4.9.1, una actualización de seguridad y mantenimiento que resuelve importantes problemas de seguridad que podrían, potencialmente, ser aprovechados como parte de un ataque en varias vías, por lo que se recomienda encarecidamente su actualización.
Como consecuencia de la detección de esta brecha de seguridad, el equipo de seguridad de WordPress ha implementado las siguientes soluciones en esta nueva versión:
- Uso de un hash correctamente generado para la clave newbloguser en lugar de un string determinado.
- Se ha añadido un escape para determinar los atributos de idioma utilizados en los elementos html.
- Se ha asegurado que los cierres de atributos tienen un escape correcto en los feeds RSS y Atom.
- Se ha eliminado la posibilidad de subir archivos JavaScript por parte de usuarios que no tengan asignada la posibilidad unfiltered_html.
Junto con estas medidas de seguridad se han corregido 11 fallos de la versión anterior, entre los cuales se pueden destacar:
- Problemas relacionados con la cache de los archivos relativos a las plantillas de los temas.
- Corrección de un error de MediaElement JavaScript que impedía que usuarios de determinados idiomas pudieran subir elementos a la biblioteca de medios.
- Imposibilidad de editar archivos de temas y plugins en servidores basados en Windows.
Debido a que esta nueva versión corrige un importante fallo de seguridad, el equipo de seguridad de WordPress recomienda de manera encarecida la actualización de la herramienta.
Fuente