WordPress.org

Ready to get started?Download WordPress

Codex

Attention Interested in functions, hooks, classes, or methods? Check out the new WordPress Code Reference!

zh-tw:3.5.2 版本

2013 年 6 月 21 日,公開發佈 WordPress 3.5.2。這是一個維護與安全性更新。

安裝/升級資訊

如果希望更新為 WordPress 3.5.2,可以從網站後台的 "控制台" > "更新" 選單進行自動下載與更新。或是前往 http://wordpress.org/download/release-archive/ 手動進行下載與更新。

安裝與更新 WordPress 的步驟說明:

如果你是 WordPress 新手,我們建議你可以先閱讀:

摘要

公布文章中提及,此次更新解決了 3.5 和 3.5.1 涉及的 12 個錯誤。

此外:版本 3.5.2 修正了七個安全問題:

* 透過 HTTP API 偽造伺服器端請求(SSRF)CVE-2013-2199。
* 權限升級:撰寫人員可以發佈文章,使用者可以重新指定作者。CVE-2013-2200。
* 透過上傳 SWF 的跨網站指令碼(XSS)。CVE-2013-2205。
* 透過文章密碼 Cookie 的阻斷服務攻擊。CVE-2013-2173。
* 透過 TinyMCE Media 外掛內的 Flash Applet 仿造詐騙。CVE-2013-2204。
* 上傳媒體時的跨網站指令碼(XSS)。CVE-2013-2201。
* 上傳檔案時泄露完整路徑(FPD)。CVE-2013-2203。

額外安全性強化,包含:

* 上傳媒體時的跨網站指令碼(XSS)(低嚴重性)。CVE-2013-2201。
* 上傳或安裝外掛/佈景主題時的跨網站指令碼(XSS)(低嚴重性)。CVE-2013-2201。
* 透過 oEmbed 注入 XML 外部實體(XXE)。CVE-2013-2202。

3.5.2 版本的完整修改紀錄可以在 http://core.trac.wordpress.org/log/branches/3.5?rev=24498&stop_rev=23347 找到。

修改的檔案清單

readme.html
wp-admin/includes/media.php
wp-admin/includes/class-wp-importer.php
wp-admin/includes/file.php
wp-admin/includes/post.php
wp-admin/includes/upgrade.php
wp-admin/includes/schema.php
wp-admin/includes/class-wp-upgrader.php
wp-admin/includes/update-core.php
wp-admin/update.php
wp-admin/about.php
wp-admin/edit-form-advanced.php
wp-login.php
wp-includes/class-wp-xmlrpc-server.php
wp-includes/rss.php
wp-includes/functions.php
wp-includes/formatting.php
wp-includes/post.php
wp-includes/media-template.php
wp-includes/deprecated.php
wp-includes/wp-db.php
wp-includes/user.php
wp-includes/class-wp-admin-bar.php
wp-includes/version.php
wp-includes/class-phpass.php
wp-includes/comment.php
wp-includes/pluggable.php
wp-includes/class-feed.php
wp-includes/script-loader.php
wp-includes/class-http.php
wp-includes/js/media-editor.min.js
wp-includes/js/swfupload/swfupload-all.js
wp-includes/js/swfupload/handlers.js
wp-includes/js/swfupload/handlers.min.js
wp-includes/js/swfupload/swfupload.swf
wp-includes/js/plupload/handlers.js
wp-includes/js/plupload/handlers.min.js
wp-includes/js/tinymce/wp-tinymce.js.gz
wp-includes/js/tinymce/plugins/media/moxieplayer.swf
wp-includes/js/tinymce/tiny_mce.js
wp-includes/js/media-editor.js
wp-includes/class-oembed.php
wp-includes/post-template.php
wp-includes/http.php
參閱 其他 WordPress 版本