Gestern kam das neue WordPress 4.5.3 heraus. Es handelt sich um ein Sicherheits-Release und sollte deshalb so schnell wie möglich eingespielt werden. Von den beseitigten Sicherheitslücken sind WordPress ab Version 4.5.2 sowie alle früheren Versionen betroffen.

Die beseitigten Schwachstellen im Einzelnen:

Ein Redirect Bypass im Customizer, gemeldet von Yassine Aboukir; zwei unterschiedliche XSS Probleme via Namen von Anhängen, gemeldet von Jouko Pynnönen und Divyesh Prajapati; Offenlegung von Informationen der Revisions-History, gemeldet (unabhängig voneinander) von John Blackbourn des WordPress Security Teams sowie von Dan Moen; oEmbed Denial of Service, gemeldet von Jennifer Dodd (Automattic); nicht autorisiertes Entfernen von Kategorien aus einem Beitrag, gemeldet von Michael Adams des WordPress Security Teams; und einige als minor eingestufte sanitize_file_name edge cases, gemeldet von Peter Westwood des WordPress Security Teams.

Zusätzlich zu den oben genannten Sicherheitslücken, wurden mit WordPress 4.5.3 insgesamt 17 Bugs aus 4.5, 4.5.1 und 4.5.2 behoben. Weitere Informationen findet man in den offiziellen release notes oder auch in dieser Liste der Änderungen.