WordPress 6.0.3版现在可用!
此版本提供了几个安全修复。因为这是一个安全释放,建议您立即更新站点。自WordPress 3.7以来的所有版本都已更新。
WordPress 6.0.3是一个短周期版本。下一个主要版本将是版本6.1计划于2022年11月1日。
如果您的站点支持自动后台更新,则更新过程将自动开始。
你可以从WordPress.org下载WordPress 6.0.3,或访问WordPress仪表板,单击“更新”,然后单击“立即更新”。
有关此版本的更多信息,请访问HelpHub网站.
此版本中包含的安全更新
安全团队感谢以下人员负责任地报告漏洞,并允许在本版本中修复这些漏洞。
- 通过wp-mail.php存储XSS(通过电子邮件发布)–三井Bussan Secure Directions,Inc.的Toshitsugu Yoneyama通过JPCERT
- 在“wp_nonce_ays”中打开重定向–德夫雷恩
- 发件人的电子邮件地址通过JPCERT暴露在wp-mail.php–三井物产安全方向公司的Toshitsugu Yoneyama中
- 媒体库–通过SQLi反映XSS–WordPress安全团队的Ben Bidner和Automatic的Marc Montpas独立发现了此问题
- wp-trackback.php中的CSRF–Simon Scannell
- 通过自定义程序存储XSS–来自WordPress安全团队的Alex Concha
- 还原中引入的共享用户实例50790–WordPress安全团队的Alex Concha和Ben Bidner
- 通过评论编辑将XSS存储在WordPress Core中–第三方安全审计和WordPres安全团队的Alex Concha
- 通过REST术语/标签端点的数据暴露–Than Taintor
- 多部分电子邮件泄露的内容–托马斯·克拉夫特纳
- 由于`WP_Date_Query`中的清理不当而导致的SQL注入–迈克尔·马佐里尼
- RSS小工具:存储的XSS问题–第三方安全审计
- 在搜索块中存储XSS–WP安全团队的Alex Concha
- 功能图像块:XSS问题–第三方安全审计
- RSS块:存储的XSS问题–第三方安全审计
- 修复小部件块XSS–第三方安全审计
感谢这些WordPress贡献者
此次发布由亚历克斯·康查,彼得·威尔逊,Jb Audras公司、和谢尔盖·比尤科夫在任务控制中心。多亏了乔纳森·德斯罗西尔斯,佐治哥斯达,伯尼·赖特和卡洛斯·布拉沃以获取有关软件包更新的帮助。
如果没有以下人员的贡献,WordPress 6.0.3是不可能实现的。他们通过异步协作将多个修复程序交付到稳定的版本中,这证明了WordPress社区的力量和能力。
亚历克斯·康查,科林斯图尔特,丹尼尔·理查兹,大卫·鲍姆瓦尔德,迪翁·赫尔斯,流行性出血热,加思·莫滕森,Jb Audras公司,约翰·布莱克本,约翰·詹姆斯·雅各比,乔纳森·德斯罗西尔斯,佐治哥斯达,朱丽叶·莱因德斯·福尔默,林肯·米扬,马丁·克尔乔,马蒂亚斯·文图拉,穆克什·潘查尔,保罗·凯万,彼得·威尔逊,罗伯特·安德森罗宾,谢尔盖·比尤科夫,苏米特·巴格塔里亚,泰迪·帕特里亚卡,蒂莫西·雅各布斯,漩涡、和采伊斯拉夫·普日瓦拉.
多亏了@彼得威尔逊公司用于校对。