O WordPress 5.5.2 já está disponível!
Esta versão de segurança e manutenção apresenta 14 correções de erros, além de 10 correções de segurança. Como esta é uma atualização de segurança, é recomendável que você atualize seus sites imediatamente. Todas as versões desde o WordPress 3.7 também foram atualizadas.
O WordPress 5.5.2 é uma versão de segurança e manutenção de ciclo curto. O próximo lançamento principal será a versão 5.6.
Você pode baixar o WordPress 5.5.2 em WordPress.org ou visite seu Painel → Atualizações e clique em Atualizar agora.
Se você tiver sites que suportam atualizações automáticas em segundo plano, eles já iniciaram o processo de atualização.
Atualizações de segurança
Sete problemas de segurança afetam as versões 5.5 e anteriores do WordPress. Se você ainda não atualizou para a 5.5, todas as versões do WordPress desde 3.7 também foram atualizadas para corrigir os seguintes problemas de segurança:
- Agradecemos a Alex Concha da equipe de segurança do WordPress por seu trabalho no reforço de solicitações de desserialização.
- Agradecemos a David Binovec por uma correção para desativar a incorporação de spam em sites desativados de uma rede multisite.
- Agradecimentos a Marc Montas, da Sucuri, por relatar um problema que poderia levar ao uso de XSS de variáveis globais.
- Agradecimentos a Justin Tran que relatou um problema em torno do escalonamento de privilégios em XML-RPC. Ele também encontrou e divulgou um problema sobre o escalonamento de privilégios em torno de comentários de postagem via XML-RPC.
- Agradecemos a Omar Ganiev, que relatou um método em que um ataque DoS pode levar ao RCE.
- Agradecimentos a Karim El Ouerghemmi, da RIPS, que divulgou um método para armazenar XSS em pós-slugs.
- Agradecemos a Slavco por relatar, assim como Karim El Ouerghemmi, um método para contornar meta campos protegidos que poderia levar à exclusão arbitrária de arquivos.
- E uma agradecimento especial a @zieladam, que foi parte integrante de muitas das correções durante esta versão.
Agradecemos pela divulgação das vulnerabilidades em privado. Isso deu à equipe de segurança tempo para corrigir as vulnerabilidades antes que os sites WordPress pudessem ser atacados.
Para obter mais informações, navegue na lista completa de alterações no Trac ou verifique a página de documentação do HelpHub da versão 5.5.2.
Agradecimentos
A versão 5.5.2 foi liderada por @whyisjake e a pela seguinte equipe do lançamento: @audrasjb, @davidbaumwald, @desrosj, @johnbillion, @metalandcoffee, @noisysocks @planningwrite, @sarahricker e @sergeybiryukov.
Além dos pesquisadores de segurança e membros da equipe de lançamento mencionados acima, agradecemos a todos que ajudaram a fazer o WordPress 5.5.2 acontecer:
Aaron Jorbin, Alex Concha, Amit Dudhat, Andrey “Rarst” Savchenko, Andy Fragen, Ayesh Karunaratne, bridgetwillard, Daniel Richards, David Baumwald, Davis Shaver, dd32, Florian TIAR, Hareesh, Hugh Lashbrooke, Ian Dunn, Igor Radovanov, Jake Spurlock, Jb Audras, John Blackbourn, Jonathan Desrosiers, Jon Brown, Joy, Juliette Reinders Folmer, kellybleck, mailnew2ster, Marcus Kazmierczak, Marius L. J., Milan Dinić, Mohammad Jangda, Mukesh Panchal, Paal Joachim Romdahl, Peter Wilson, Regan Khadgi, Robert Anderson, Sergey Biryukov, Sergey Yakimov, Syed Balkhi, szaqal21, Tellyworth, Timi Wahalahti, Timothy Jacobs, Towhidul I. Chowdhury, Vinayak Anivase e zieladam.