2020年10月29日,WordPress 5.5.2 向公众发布。WPEXP 众多站点在凌晨自动更新至 WordPress 5.5.2 版本。WordPress 5.5.2 版本修补了 10 个安全漏洞以及修正了 14 个问题。
对于自动更新已停用的小伙伴,比如启用了automatic_updater_disabled
过滤器,可点击仪表盘→更新来执行强制进行 WordPress 更新检查。由于涉及 WordPress 安全性问题,WPEXP 强烈建议更新此版本!
安全更新
十个安全问题会影响 WordPress 5.5 及更早版本;5.5.2 版修复了这些问题,因此您需要升级。如果尚未更新到 5.5,则还有 5.4 和更早版本的更新版本可解决安全问题。
- WordPress 安全团队的 Alex Concha 在加强反序列化请求方面的工作。
- 支持 David Binovec 的修复程序,以禁用来自多站点网络上已禁用站点的垃圾邮件嵌入。
- 感谢 Sucuri 的 Marc Montas 报告了一个可能导致全局变量导致 XSS 的问题。
- 感谢 Justin Tran 报告了有关 XML-RPC 中特权升级的问题。他还发现并公开了有关通过 XML-RPC 发表评论的特权升级的问题。
- 向 Omar Ganiev 提出的建议,他报告了一种DoS攻击可能导致 RCE 的方法。
- 感谢 RIPS 的 Karim El Ouerghemmi 公开了一种将 XSS 存储在后段塞中的方法。
- 感谢 Slavco 的报告以及 Karim El Ouerghemmi 的确认,这是一种绕过受保护的 meta 的方法,该方法可能导致任意文件删除。
- 特别感谢@zieladam,他在此发行版的许多发行版和补丁中都是不可或缺的。
顶部↑
维护更新
WordPress 5.5.2还修复了5.5版中引入的一些回归:
- 51130 –事件在场所时区而非用户的时区中显示
- 51659 –更新 WordPress 5.5.2 的 Gutenberg 依赖关系
- 50861 –删除 Facebook 和 Instagram 作为嵌入源
- 50903 –默认情况下,将本地环境设置为开发环境类型
- 50949 –用户与网站所在时区不同时,帖子显示错误时间
- 51053 –设置为向左对齐的视频嵌入在古腾堡编辑器中消失了
- 51175 –错误的回复框标题
- 51219–主题编辑器页面显示未定义的变量通知
- 51251 –修复打开编辑图像弹出窗口时的PHP通知
- 51263 –在管理注释编辑屏幕中编辑注释时,PHP警告
- 51320-将帖子移至垃圾桶时的 PHP 声明(post_type 具有2个已注册的分类法,均已设置 default_term)
- 51400 –自动插件/主题更新期间未定义的索引
- 51595 –无法通过 XML-RPC 进行匿名评论
- 51645 –未定义索引:核心文件中的回显