WordPress 3.9.2现在是所有以前版本的安全版本。我们强烈建议您立即更新您的网站。
此版本修复了PHP XML处理中可能出现的拒绝服务问题,报告者为Nir Goldshlager公司Salesforce.com产品安全团队。它是由WordPress安全团队的Michael Adams和Andrew Nacin以及Drupal安全团队这是我们的两个项目首次协调联合安全发布。
WordPress 3.9.2还包含其他安全更改:
- 修复了处理小部件时可能但不太可能执行的代码(默认情况下WordPress不受影响),由亚历克斯·康查WordPress安全团队的。
- 根据报告,通过外部GetID3库中的XML实体攻击防止信息泄漏伊万·诺维科夫ONSec的。
- 根据报告,增加了针对CSRF令牌的暴力攻击的保护大卫·托马希克谷歌安全团队。
- 包含一些额外的安全强化,例如防止仅由管理员触发的跨站点脚本。
我们感谢直接向我们的安全团队负责地披露这些问题。有关更多信息,请参阅发行说明或咨询更改列表.
下载WordPress 3.9.2或冒险前往仪表板→更新然后单击“立即更新”。
支持自动后台更新的网站将在12小时内更新到WordPress 3.9.2。(如果你仍然使用WordPress 3.8.3或3.7.3,你也会被更新到3.8.4或3.7.4。我们不支持旧版本,因此请更新至3.9.2以获取最新和最佳版本。)
已经在测试WordPress 4.0了吗?第三个测试版是现在可用(zip),它包含这些安全修复。