今日,WordPress 6.3.2 更新发布,该版本修复了19 个 Core 错误、22 个块编辑器错误修复以及 8 个安全修复。一般小版本升级是修复Bug为主,这次的更新修复了几个较严重的漏洞,建议立即升级。
安全更新内容
- Automattic 的 Marc Montpas 发现了潜在的用户电子邮件地址泄露事件。
- Automattic 的 Marc Montpas 发现了 RCE POP 链漏洞。
- Patchstack的 Rafie Muhammad 和 Edouard L以及 WordPress 委托的第三方审计分别独立识别了帖子链接导航块中的 XSS 问题。
- WordPress 安全团队的Jb Audras和Patchstack的 Rafie Muhammad各自独立发现了一个问题,即私人帖子的评论可能会泄露给其他用户。
- John Blackbourn(WordPress 安全团队)、James Golovich、JD Grimes、Numan Turle、WhiteCyberSec分别独立识别登录用户执行任何短代码的方式。
- mascara7784和第三方安全审核,用于识别应用程序密码屏幕中的 XSS 漏洞。
- WordPress 核心团队的Jorge Costa识别脚注块中的 XSS 漏洞。
- s5s和raouf_maklouf用于独立识别缓存中毒 DoS 漏洞。
Bug修复
- 主题:修复 Windows 上的核心块样式路径
- 升级/安装:批量升级期间检查插件兼容性
- 编辑器:更新软件包并修复 6.3.2 的 错误
- Twenty Twenty 主题:修复 iframed 编辑器中的样式问题
- 构建工具: 使用选项copy:dynamic 运行时 grunt watch–dev
- REST API:删除误导性评论WP_REST_Blocks_Controller->get_item_schema
- 编辑器:保护主题时保留块样式变化
- 帖子类型:允许废弃草稿模式
- 编辑器:修复子主题中块中资源的加载,其中目录名称以父主题的目录名称开头
- 编辑器:防止预览块主题时出现致命错误的可能性
- 编辑:不要在排版中使用流体布局值
- HTML API:删除时删除属性的所有重复副本
- 构建/测试工具:添加 sys_get_temp_dir() 到 open_basedir 测试
- 升级/安装:修复 sprintf() 删除备份时中断的呼叫
- HTML API:跳过 RAWTEXT 元素的内容,例如 STYLE
- 构建/测试工具:自动恢复重试失败的 E2E 测试一次
- 主题:避免核心块样式的过时缓存
- 帖子、帖子类型:恢复 get_pages() 中缺少的 sort_column 选项
- 帖子、帖子类型:避免 get_pages() 中的冗余 SQL 查询
预告:下一个主要版本将是6.4 版本,计划于 2023 年 11 月 7 日发布。
