距离 WordPress 3.6 发布才过了一个月,新的维护与安全更新 WP 3.6.1 已经发布了。本次更新修正了 WP 3.6 中的 13 个已知问题。
WordPress 3.6.1 同时也是针对之前所有 WordPress 版本的一次安全更新,开发团队建议所有用户立即更新到新版本。WP 安全团队本次修正的三大安全问题如下:
- 远程代码执行:在某些特殊环境和配置中,不安全的 PHP 反序列化可能会导致远程代码执行问题。由 Tom Van Goethem 报告。
- 特权提升:一个拥有“作者”权限的用户,可以使用精心设计的请求使自己可以创建一个显示为由另一用户“撰写”的文章。由 Anakorn Kyavatanakij 报告。
- 链接注入/打开重定向:输入验证不完善,可能会导致用户被重定向或将用户引导至另一个网站。由来自美国疾控中心(U.S. Centers for Disease Control and Prevention)分包商,Northrup Grumman 公司的 Dave Cummo 报告。
同时,开发小组还调整了文件上传时的安全限制以避免可能的跨站脚本(cross-site scripting)攻击。
要查看关于本次更新的更多信息,请查看从 WP 3.6 到 WP 3.6.1 的更新日志。相对于上个版本,本次升级更新过的所有文件包括:
readme.html wp-admin/about.php wp-admin/nav-menus.php wp-admin/includes/post.php wp-admin/includes/update-core.php wp-admin/includes/template.php wp-admin/network/upgrade.php wp-admin/js/common.js wp-includes/pluggable.php wp-includes/comment-template.php wp-includes/post-template.php wp-includes/version.php wp-includes/theme.php wp-includes/functions.php wp-includes/ms-functions.php wp-includes/link-template.php wp-includes/class-http.php wp-includes/js/jquery/jquery.js wp-includes/js/tinymce/plugins/wordpress/editor_plugin.js wp-includes/js/tinymce/plugins/wordpress/editor_plugin_src.js wp-includes/js/tinymce/wp-tinymce.js.gz
从上面的更改文件可以看出,WordPress 内置主题在本次更新中没有变化,所以,本站提供的 Twenty Elven(2011) 主题、Twenty Twelve(2012) 主题、Twenty Thirteen(2013) 主题的简体中文语言包也就不再更新了。
下载 WordPress 3.6.1 或者立即通过 WordPress 后台仪表盘的“更新”菜单项升级吧。©
本文发表于水景一页。永久链接:<http://cnzhx.net/blog/wordpress-3-6-1-release/>。转载请保留此信息及相应链接。
这个 WordPress 3.6.1又有新的发布了,还蛮好用的哦,继续支持。
只是安全更新吧,没啥变化……
嗯,只是维护性的更新,主要是安全问题 :)
引用通告: WordPress 3.7 开始 Beta 1 测试 | 水景一页
引用通告: 统计数据显示:为什么WordPress是一个受黑客欢迎的目标 | AnsonLok
学习了