WordPress 4.2.2, beveiligingsrelease waarmee twee lekken worden gedicht

WordPress 4.2.2, beveiligingsrelease waarmee twee lekken worden gedicht

Vorige week maandag bracht het team van WordPress versie 4.2.1 uit en vandaag is de volgende release uitgebracht, WordPress 4.2.2. Het gaat om een belangrijke update waarmee twee kritische lekken in het pakket worden gedicht. Het advies is dan ook om zo snel mogelijk te upgraden naar deze nieuwe versie. Indien het automatisch installeren van updates is ingeschakeld dan zal versie 4.2.2 automatisch worden geinstalleerd. Bestaande 4.1.4 installaties van WordPress zullen automatisch worden bijgewerkt naar versie 4.1.5.

Overigens worden er ook enkele kleine bugs in het pakket verholpen met deze update.

Eventueel handmatig bijwerken van een bestaande installatie naar de nieuwe versie van het blogpakket kan door in de backend van WordPress te gaan naar Updates en hier de nieuwe versie te selecteren. Geadviseerd wordt wel om voor het uitvoeren van de update even een back-up te maken van zowel de website als van de bijbehorende database.

  • The Genericons icon font package, which is used in a number of popular themes and plugins, contained an HTML file vulnerable to a cross-site scripting attack. All affected themes and plugins hosted on WordPress.org (including the Twenty Fifteen default theme) have been updated today by the WordPress security team to address this issue by removing this nonessential file. To help protect other Genericons usage, WordPress 4.2.2 proactively scans the wp-content directory for this HTML file and removes it.
  • WordPress versions 4.2 and earlier are affected by a critical cross-site scripting vulnerability, which could enable anonymous users to compromise a site. WordPress 4.2.2 includes a comprehensive fix for this issue.
  • The release also includes hardening for a potential cross-site scripting vulnerability when using the visual editor. This issue was reported by Mahadev Subedi.
Lees meer over: