Version 6.0.3
Le 17 octobre 2022, WordPress 6.0.3
WordPress 6.0.3 est maintenant disponible ! Cette version comporte plusieurs correctifs de sécurité. Comme il s’agit d’une version de sécurité, il est recommandé de mettre à jour vos sites immédiatement. Toutes les versions depuis WordPress 3.7 ont également été mises à jour.
Mises à jour de sécurité incluses dans cette version
L’équipe de sécurité tient à remercier les personnes suivantes pour avoir signalé de manière responsable les vulnérabilités et leur avoir permis d’être corrigées dans cette version.
- XSS stocké via wp-mail.php (post by email) – Toshitsugu Yoneyama de Mitsui Bussan Secure Directions, Inc. via JPCERT
- Ouvrir la redirection dans `wp_nonce_ays` – devrayn
- L’adresse e-mail de l’expéditeur est exposée dans wp-mail.php – Toshitsugu Yoneyama de Mitsui Bussan Secure Directions, Inc. via JPCERT
- Bibliothèque multimédia – XSS réfléchi via SQLi – Ben Bidner de l’équipe de sécurité WordPress et Marc Montpas d’Automattic ont découvert ce problème de manière indépendante
- CSRF dans wp-trackback.php – Simon Scannell
- Stocké XSS via le Customizer – Alex Concha de l’équipe de sécurité WordPress
- Rétablir les instances d’utilisateurs partagés introduites en 50790 – Alex Concha et Ben Bidner de l’équipe de sécurité WordPress
- XSS stocké dans WordPress Core via l’édition de commentaires – Audit de sécurité tiers et Alex Concha de l’équipe de sécurité WordPress
- Exposition des données via le point de terminaison des termes/balises REST – Than Taintor
- Le contenu des e-mails en plusieurs parties a été divulgué – Thomas Kräftner
- Injection SQL en raison d’une mauvaise désinfection dans `WP_Date_Query` – Michael Mazzolini
- Widget RSS : Problème XSS stocké – Audit de sécurité par un tiers
- XSS stocké dans le bloc de recherche – Alex Concha de l’équipe WP Security
- Bloc d’image de fonctionnalité : problème XSS – Audit de sécurité tiers
- Bloc RSS : Problème XSS stocké – Audit de sécurité par un tiers
- Correction du bloc de widget XSS – Audit de sécurité par un tiers
Crédits
Cette sortie a été dirigée par Alex Concha, Peter Wilson, Jb Audras et Sergey Biryukov. Merci à Jonathan Desrosiers, Jorge Costa, Bernie Reiter et Carlos Bravo pour leur aide sur les mises à jour des paquets.
WordPress 6.0.3 n’aurait pas été possible sans les contributions des personnes suivantes. Leur coordination asynchrone pour fournir plusieurs correctifs dans une version stable témoigne de la puissance et de la capacité de la communauté WordPress.
Alex Concha, Colin Stewart, Daniel Richards, David Baumwald, Dion Hulse, ehtis, Garth Mortensen, Jb Audras, John Blackbourn, John James Jacoby, Jonathan Desrosiers, Jorge Costa, Juliette Reinders Folmer, Linkon Miyan, martin.krcho, Matias Ventura, Mukesh Panchal, Paul Kevan
Liste des paquets mis à jour
@wordpress/block-directory : 3.4.15 @wordpress/block-library : 7.3.15 @wordpress/customize-widgets : 3.3.15 @wordpress/edit-post : 6.3.15 @wordpress/edit-site : 4.3.15 @wordpress/edit-widgets : 4.3.15 @wordpress/widgets : 2.4.11
Liste des fichiers révisés
src/wp-admin/about.php src/wp-admin/includes/ajax-actions.php src/wp-admin/includes/post.php src/wp-includes/blocks/legacy-widget.php src/wp-includes/blocks/navigation.php src/wp-includes/blocks/post-featured-image.php src/wp-includes/blocks/rss.php src/wp-includes/blocks/search.php src/wp-includes/blocks/widget-group.php src/wp-includes/class-wp-date-query.php src/wp-includes/class-wp-query.php src/wp-includes/comment.php src/wp-includes/customize/class-wp-customize-header-image-control.php src/wp-includes/customize/class-wp-customize-site-icon-control.php src/wp-includes/deprecated.php src/wp-includes/functions.php src/wp-includes/media-template.php src/wp-includes/pluggable.php src/wp-includes/post.php src/wp-includes/rest-api/endpoints/class-wp-rest-attachments-controller.php src/wp-includes/rest-api/endpoints/class-wp-rest-terms-controller.php src/wp-includes/user.php src/wp-includes/version.php src/wp-includes/widgets.php src/wp-mail.php src/wp-trackback.php
Nous solutions de maintenance WordPress à partir de 59€ ht/ mois