(4,25/5 - 4 vote(s))
C’est il y a un mois qu’était dévoilé WordPress 3.6 aka Oscar, dévoilant de nombreuses nouveautés venant enrichir le célèbre système de gestion de contenu. La société éditrice du CMS, Automattic, diffuse aujourd’hui la première mise à jour de cette branche, WordPress 3.6.1, non seulement dans le cadre de la maintenance, mais également et surtout pour venir corriger des failles de sécurité.
C’est dans un premier temps 13 dysfonctionnements qui seront ainsi supprimés après application de la MAJ.
Du côté de la sécurité, ce sont 3 vulnérabilités desquelles sont venus à bout les développeurs de l’équipe en charge du CMS :
- Blocage des désérialisations PHP non sûres pouvant dans certaines situations et sous certaines configurations entraîner l’exécution de code malveillant à distance
- Correction d’un bug permettant à un compte de rôle Auteur de créer une publication dont il n’est pas l’auteur (attribuer le post à un autre compte)
- Amélioration de la validation de champs de formulaires pouvant amener à la redirection d’un utilisateur vers un autre site internet
Des ajustements ont de plus été apportés au niveau de l’envoi des fichiers pour atténuer les risques de faille XSS.
A noter que le pack français de WordPress 3.6.1 n’est pour l’heure pas encore disponible. Il est vivement conseillé d’appliquer la mise à jour dès que ce sera le cas, manuellement ou automatiquement pour peu que votre hébergeur soit compatible avec l’application live des mises à jour via l’interface d’administration.
WordPress 3.6.1 est disponible au téléchargement en français.
Bonjour,
Je viens de faire la mise et hop message d’erreur avec mon thème BresponZive.
public_html / dir / wp-content / themes / bresponzive / bresponzive / admin / widgets / widgets.php on line 1
Un thème qui fonctionnait très bien sous WP3.6, la mise à jour doit désactiver quelque chose.
Rendez-vous dans le fichier widgets.php pour corriger ce qui coince en fonction de l’erreur retournée.
Bon courage ;)
Bonjour,
Post sympa, avez-vous plus d’information sur le niveau de dangerosité de la faille ? La faille était-elle directement exploitable depuis le code de base du WP 3.6 sans thème ni plugin ?
A en croire le post développeur ayant découvert la faille, c’est relativement inquiétant…
http://vagosec.org/2013/09/wordpress-php-object-injection/
Cdt,
G
L’article est assez exhaustif. Je le parcours dès que j’en ai l’occasion. Merci !
Mais WebLife est désormais bel et bien motorisé par WordPress 3.6.1 ;)
Mise à jour réussie ! :)
Well done ! ;)
Merci pour les infos sur ces corrections de bug car on a parfois des difficultés à trouver les différences d’une version à une plus récente.
Restez connecté sur WebLife dans ce cas, vous aurez continuellement accès aux détails des mises à jour ;)
Bonjour,
Depuis la dernière maj, je rencontre des soucis de partage dans Facebook (plus de vignette, commentaire, etc.). Quelqu’un rencontre-t-il ce soucis ? Peut-être est-ce la version du PHP chez mon hébergeur ?
Merci :-)
Bonjour,
Difficile de déterminer de quoi tu parles exactement.
Partage manuel ou automatisé sur ta page/profil Facebook ? Commentaires à des publications ?
Avec plus de détails, peut-être pourrons-nous diagnostiquer et corriger ce qui pose problème ;)
Bonjour, je rencontre le même problème que HerveVitLa sur la mise a jour de WP 3.6.1 pour le glisser-déposer des widgets, ceux-là ne se sélectionnent pas et sont pas actifs. Avez-vous une solution au niveau du code a corriger dans le fichier widgets.php ?
Merci d’avance. Cordialement Mike
N’ayant pas été confronté à ce souci et sans plus d’information, il va m’être difficile de vous éclairer ;)