WordPress 3.3.2 正體中文版已經發佈,並且是一個針對先前版本所釋出的安全性更新。
- Plupload (1.5.4 版本),WordPress 用它來上傳媒體檔案。
- SWFUpload,先前 WordPress 使用它來上傳檔案,仍有些外掛會使用它。
- SWFObject,先前 WordPress 使用它來嵌入 Flash 內容,仍有些外掛與佈景主題使用它。
感謝 Neal Poole 與 Nathan Partlan 兩位 負責披露關於 Plupload 與 SWFUpload 的臭蟲,以及 Szymon Gruszecki 對於 SWFUpload 另外一隻臭蟲的貢獻。
WordPress 3.3.2 同時涉及:
- 某種特定情況下執行的 WordPress 網路會有某些限制的特權升級,當網站管理員可停用網誌網路範圍內的插件,由我們 WordPress 核心安全團隊的 Jon Cave 以及 Adam Backstrom 所披露。
- 讓網址變成可以點擊時的跨網站腳本漏洞,由 Jon Cave 披露。
- 舊款瀏覽器於發表迴響後轉送網址與當篩選網址時所發生的跨網站腳本漏洞。感謝 Mauro Gentile 負責披露這些問題給安全團隊。
這些問題已由 WordPress 核心安全團隊修復。於 3.3.2 版本中也另外修復其他五隻臭蟲。請參考修改日誌取得詳情。
下載 3.3.2 或是自你網站管理區內的「控制台」→「更新」選單內升級。
WordPress 3.4 Beta 3 英文版同時發佈,請參考官方公告《WordPress 3.3.2 (and WordPress 3.4 Beta 3)》。
WordPress 3.4 翻譯仍在進行中,將於完成後擇期發佈。
文章轉載自:http://tw.wordpress.org
