更新说明:
除了10个安全修复程序之外,此安全和维护版本还包含14个错误修复程序。由于这是一个安全版本,因此建议您立即更新站点。自WordPress 3.7以来的所有版本也已更新。
WordPress 5.5.2是一个短周期的安全和维护版本。下一个主要版本将是5.6版。
您可以通过从WordPress.org下载来下载WordPress 5.5.2,或者访问仪表板→更新,然后单击立即更新。
如果您的站点支持自动后台更新,则它们已经开始更新过程。
安全更新
十个安全问题会影响WordPress 5.5.1及更早版本。如果您尚未更新到5.5,则自3.7以来的所有WordPress版本也已更新,可以解决以下安全问题:
- WordPress安全团队的Alex Concha在加强反序列化请求方面的工作。
- 支持David Binovec的修复程序,以禁用来自多站点网络上已禁用站点的垃圾邮件嵌入。
- 修复了一个可能导致全局变量导致XSS的问题。
- 修复了有关XML-RPC中特权升级的问题。还发现并公开了有关通过XML-RPC发表评论的特权升级的问题。
- 向Omar Ganiev提出的建议,他报告了一种DoS攻击可能导致RCE的方法。
- 感谢RIPS的Karim El Ouerghemmi公开了一种将XSS存储在后段塞中的方法。
- 感谢Slavco的报告以及Karim El Ouerghemmi的确认,这是一种绕过受保护的meta的方法,该方法可能导致任意文件删除。
- LR负责地披露了一种可能导致CSRF的方法。
维护更新
WordPress 5.5.2还修复了5.5版中引入的一些回归:
51130 –事件在场所时区而非用户的时区中显示
51659 –更新WordPress 5.5.2的Gutenberg依赖关系
50861 –删除Facebook和Instagram作为嵌入源
50903 –默认情况下,将本地环境设置为开发环境类型
50949 –用户与网站所在时区不同时,帖子显示错误时间
51053 –设置为向左对齐的视频嵌入在古腾堡编辑器中消失了
51175 –错误的回复框标题
51219-主题编辑器页面显示未定义的变量通知
51251 –修复打开编辑图像弹出窗口时的PHP通知
51263 –在管理注释编辑屏幕中编辑注释时,PHP警告
51320-将帖子移至垃圾桶时的PHP声明(post_type具有2个已注册的分类法,均已设置default_term)
51400 –自动插件/主题更新期间未定义的索引
51595 –无法通过XML-RPC进行匿名评论
51645 –未定义索引:核心文件中的回显
菜鸟站长之家是在昨晚自动被更新了,目前暂时未发现有兼容问题,有需要的小伙伴可以自行下载升级。
与此同时官方还在准备下一个大版本,WordPress 5.6 beta版本的发布。
WordPress 5.6计划于2020年12月8日发布
发表评论