Em 14 de outubro foi lançada a atualização 5.2.4 do WordPress. Ela corrige seis problemas de segurança referentes ao núcleo do WordPress. Portanto, recomenda-se fortemente a atualização para esta nova versão assim como é para toda atualização de segurança do WordPress.
Para aqueles que têm atualizações automáticas ativadas em seu site, a nova versão já deve ter sido instalada. Todas as principais ramificações do WordPress da versão 3.7 a 5.2 receberam as novas correções de segurança. Se as atualizações automáticas não estiverem ativadas, os usuários deverão atualizar a partir da tela “Atualizações” em “Painel” no administrador do WordPress.
Para essa atualização, os seguintes problemas de segurança foram tratados:
- Ataque XSS permitindo inserção de código na tela de Customização.
- Um problema que permitia ao XSS armazenado injetar JavaScript nas tags <style>.
- Um bug que permitia a exibição de postagens não autenticadas.
- Um método para usar o cabeçalho Vary: Origin para envenenar o cache de solicitações JSON GET (API REST).
- Uma falsificação de solicitação do lado do servidor (SSRF) com a forma como os URLs são validados.
- Problemas com a validação do referenciador no administrador do WordPress.
Versão anterior
Na versão anterior (5.2.3) além de melhorias no código e conserto de pequenos bugs, foram liberadas a atualização de 7 problemas de segurança sendo 5 delas referentes à falhas que permitiam ataques XSS.
Próxima versão: 5.3
A previsão de lançamento do WordPress 5.3 está para 12 de novembro de 2019. Não é esperada nenhuma atualização de segurança para esta versão. Essa será o último grande lançamento do ano e são esperadas algumas melhorias significativas, incluindo novos recursos, aprimoramentos do editor de blocos e atualização da interface do usuário.
