Доступна новая версия WordPress 4.2.2. В ней исправлены некоторые ошибки, найденные в версии 4.2, а также устранена XSS-уязвимость связанная с пакетом иконок Genericons, который используется во многих темах и плагинах WordPress.

Еще вчера компания Sucuri обнародовала детали XSS уязвимости в Genericons – это популярный пакет векторных иконок, который используется во многих популярных темах и плагинах WordPress, включая Jetpack, Twenty Fifteen, Twenty Fourteen и другие.

Обновление WordPress 4.2.2

При обновлении WordPress 4.2.2 ищет на сервере все файлы, похожие на уязвимый example.html, который поставлялся вместе с пакетом Genericons, и удаляет его. Поиск производится лишь в директориях wp-content/plugins и wp-content/themes, но для целостности мы рекомендуем проверить всю корневую директорию WordPress, например через SSH:

$ find /path/to/wordpress -name example.html
/path/to/wordpress/wp-content/themes-backup/my-child-theme/genericons/example.html

Помимо данной уязвимости, в версии 4.2.2 исправлено ряд ошибок найденных в предыдущих версиях WordPress, некоторые из которых также связаны с безопасностью. Список всех изменений можно найти в баг-трэкере.

Если ваш WordPress-сайт еще не обновился автоматически до версии 4.2.2, вы можете сделать это вручную через панель администрирования в разделе Консоль → Обновления.