WordPress 3.0.5 发布

On 2011年02月8日, in soft, by netoearth

2010年2月7日,WordPress 3.0.5公开发布,这是一个面向安全的更新,并没有提供功能上的改进。

核心程序方面,这是一个安全更新,重点针对站点中有不确定用户的情况;在 WordPress China 方面,我们特别为您准备了“中国视频网站视频自动嵌入功能”,您只需在文章中另起一段,复制优酷网、56.com 或土豆网视频播放页面的网址,即可轻松插入视频。(详情请安装/升级后,访问“控制板 → 设置 → 中文本地化”,点击上方的“帮助”查看。)

详细情况如下:

修复了两个中等危险的安全问题。在以往版本中,贡献者和作者可以自我提权。

修复了一个信息泄露问题。以往版本中,作者级别的用户可以通过某种方法看到他们不应看到的内容。

做出了两个增强安全性的更改。一个是为那些没有正确使用安全 API 的插件提供的,另一个是对我们之前发布的补丁进行更深层的修正。

在核心程序方面,感谢 Nils Jueneman 和 Saddy。他们将两个安全问题报告给了 security@wordpress.org。其余问题是我们的安全小组修复的;在中文版本方面,感谢 Jimmy Xu,一个 15 岁的高三学生,为我们提供了部分正则表达式的支持。

下载 3.0.5,或在站点后台“控制版 → 更新”进行升级。

下载: http://wordpress.org/download/release-archive/

Summary

* Fix XSS bug: Properly encode title used in Quick/Bulk Edit, and offer additional saniziation to various fields. Affects users of the Author or Contributor role. (r17397, r17406, r17412)
* Fix XSS bug: Preserve tag escaping in the tags meta box. Affects users of the Author or Contributor role. (r17401)
* Fix potential information disclosure of posts through the media uploader. Affects users of the Author role. (r17393)
* Enhancement: Force HTML filtering on comment text in the admin (r17400)
* Enhancement: Harden check_admin_referer() when called without arguments, which plugins should avoid. (r17387)
* Update the license to GPLv2 (or later) and update copyright information for the KSES library.

Tagged with:  

Comments are closed.