Das vor kurzem veröffentlichte Update des Open-Source Blog CMS schließt zwei kritische Sicherheitslücken. Bei allen WordPress Installationen die die Option des Auto-Update aktiviert haben, wurde das Update sofort installiert. Alle anderen sollten dies schnellst möglich nachholen.
Mittels der XSS-Lücke (Cross-Site-Scripting) Sicherheitslücken ist ein Angreifer im Stande JavaScript auszuführen. Dies kann durch den Upload eines Bildes mit manipulierten Dateinamen erfolgen. Die zweite Lücke betrifft den Upload-Mechanismus von WordPress. Neben den kritischen Lücken, werden mit dem Update 4.6.1 auch 15 weitere Fehler korrigiert.
Alle Änderungen
Hier ist die Liste der geschlossenen Tickets, sortiert nach Komponenten:
Bootstrap/Load
#37680 – PHP Warning: ini_get_all()
wurde aus Sicherheitsgründen deaktiviert.
Kommentare
#37696 – WP_Comment_Query
verursacht in Fällen, in denen die Top-Level-Kommentare bereits im Cache sind, dass sql_clauses
nicht gebildet und somit auch nicht gefüllt werden können.
Datenbank
- #37683 –
$collate
und$charset
können undefiniert inwpdb::init_charset()
sein. - #37689 – Probleme mit uft8mb4-Kollation und dem 4.6-Update.
Editor
#37690 – Die Rückschritttaste verursacht einen Sprung nach oben.
#37736 – E-Mail-Probleme mit verschiedenen Server-Einstellungen.
Externe Bibliotheken
- #37700 –
Warning: curl_exec()
wurde aus Sicherheitsgründen deaktiviert (Requests library). - #37720 – Die komprimierte Version von Masonry shim wurde nicht aktualisiert in #37666 (Masonry library).
HTTP API
- #37733 – cURL Fehler 3: fehlgebildet für Remote-Anfragen.
- #37768 – HTTP API akzeptiert nicht länger integer und float Werte als Cookies Argument.
Beitrags-Vorschaubilder
#37697 – Seltsames Verhalten der Vorschaubilder in der Voransicht in 4.6.
Script Loader
#37800 – Schließen des link
-Elements (“link rel”) für dns-prefetch korrigiert.
Taxonomy
#37721 – Verbesserte Fehlerverarbeitung von is_object_in_term
in der taxonomy.php.
Themes
#37755 – Visuelle Ansicht im Editor: Sonderbare Unicode-Zeichen (Vietnamesisch) werden in 4.6 angezeigt.
Upgrade/Installation
#37731 – Endlos-Schleife in _wp_json_sanity_check()
während der Plugin-Installation.