Disponible WordPress 4.6.1 – Actualización de seguridad y mantenimiento

Ya está disponible WordPress 4.6.1. Esta es una actualización de seguridad para todas las versiones anteriores y te animamos encarecidamente a actualizar todos tus sitios de inmediato.

Wordpress es un sistema de gestión de contenidos enfocado a la creación de blogs desarrollado en PHP y MySQL, ampliamente usado en la comunidad de bloggers debido a su facilidad de uso y sus características como gestor de contenidos.

Los problemas residen en un cross-site scripting a través del nombre de archive de una imagen; y una vulnerabilidad de ruta transversal en el paquete de subida de actualizaciones. Ambos afectan a WordPress versiones 4.6 y anteriores.

Además está versión contiene la corrección de otros 15 fallos (desde la versión 4.6) no relacionados directamente con problemas de seguridad.

Las versiones de WordPress 4.6 y previas están afectadas por dos problemas de seguridad: una vulnerabilidad XSS (cross-site scripting)  a través de los nombres de archivo de las imágenes, informada por el desarrollador de SumOfPwn Cengiz Han Sahin; y una vulnerabilidad transversal de las rutas en el cargador de paquetes de actualizaciones, informado por Dominik Schilling, del equipo de seguridad de WordPress.

Gracias a todos los que han informado por practicar la difusión responsable.

Además de los anteriores problemas de seguridad, WordPress 4.6.1 soluciona 15 fallos desde la versión 4.6. Para más información revisa las notas de la versión o consulta la lista de cambios.

Descarga WordPress 4.6.1 o ve a tu Dashboard → Actualizaciones y simplemente haz clic en “Actualizar ahora.” Los sitios compatibles con las actualizaciones automáticas en segundo plano ya están empezando a actualizarse a WordPress 4.6.1.

WordPress 4.6.1 also fixes 15 bugs from Version 4.6, including:
Bootstrap/Load

• #37680 – PHP Warning: ini_get_all() has been disabled for security reasons

Database

• #37683 – $collate and $charset can be undefined in wpdb::init_charset()
• #37689 – Issues with utf8mb4 collation and the 4.6 update

Editor

• #37690 – Backspace causes jumping

Email

• #37736 – Emails fail on certain server setups

External Libraries

• #37700 – Warning: curl_exec() has been disabled for security reasons (Requests library)
• #37720 – The minified version of the Masonry shim was not updated in #37666 (Masonry library)

HTTP API

• #37733 – cURL error 3: malformed for remote requests
• #37768 – HTTP API no longer accepts integer and float values for the cookies argument

Post Thumbnails

• #37697 – Strange behavior with thumbnails on preview in 4.6

Script Loader

• #37800 – Close “link rel” dns-prefetch tag

Taxonomy

• #37721 – Improve error handling of is_object_in_term in taxonomy.php

Themes

• #37755 – Visual Editor: Weird unicode (Vietnamese) characters display on WordPress 4.6

TinyMCE

• #37760 – Problem with RTL

Upgrade/Install

• #37731 – Infinite loop in _wp_json_sanity_check() during plugin install

Fuentes:
https://es.wordpress.org/2016/09/07/wordpress-4-6-1-actualizacion-de-seguridad-y-mantenimiento/
http://unaaldia.hispasec.com/2016/09/actualizacion-de-seguridad-para.html