Ya se encuentra disponible la versión WordPress 5.0.1. Es una actualización de seguridad para todas las versiones desde la versión WordPress 3.7. Te recomendamos que actualices todos tus sitios de inmediato.

Para los autores de los plugins, se les recomienda revisar las notas del desarrollo de la nueva versión (5.0.1) para obtener la información necesaria de compatibilidad.

Esta actualización corrige errores de las versiones 5.0 y anteriores que se ven afectadas. Todas las versiones de WordPress 4.9 y anteriores también fueron actualizadas para los usuarios que aún no han actualizado a la versión 5.0.

Las siguientes vulnerabilidades fueron las que reportaron los usuarios, si quieres ver todas puedes ingresar aquí:

• Karim El Ouerghemmi descubrió que los autores podían alterar metadatos para borrar archivos para los que no estaban autorizados.
  Simon Scannell de RIPS Technologies descubrió que los autores podían crear mensajes de tipos de mensajes no autorizados con información especialmente diseñada.
• Sam Thomas descubrió que los contribuidores podían crear meta datos de modo que resulte en una inyección de objetos PHP.
• Tim Coen descubrió que los contribuidores podían editar nuevos comentarios de usuarios con mayores privilegios, lo que potencialmente generaría a una vulnerabilidad de secuencias de comandos entre sitios.
• Tim Coen también descubrió que las entradas de URL especialmente diseñadas podrían conducir a una vulnerabilidad de secuencias de comandos entre sitios en algunas circunstancias. WordPress en sí no se vio afectado, pero los plugins pueden estarlo en algunas situaciones.
• El equipo Yoast descubrió que la pantalla de activación de usuarios podía ser indexada por los motores de búsqueda en algunas configuraciones poco comunes, lo que llevaba a la exposición de las direcciones de correo electrónico, y en algunos casos raros, contraseñas generadas por defecto.
• Tim Coen y Slavco descubrieron que los autores de sitios servidos por Apache podían subir archivos específicamente diseñados para evitar la verificación MIME, lo que provocaba una vulnerabilidad de scripting entre sitios.

Cuando esté disponible, ya puedes descargar la versión de WordPress 5.0.1, o desde el panel de control. Los sitios que tengan activado las actualizaciones de segundo plano ya están en ejecución.

Gracias a los siguientes usuarios por informar y ayudar en esta actualización:

Alex Shiels, Alex Concha, Anton Timmermans, Andrew Ozz, Aaron Campbell, Andrea Middleton, Ben Bidner, Barry Abrahamson, Chris Christoff, David Newman, Demitrious Kelly, Dion Hulse, Hannah Notess, Gary Pendergast, Herre Groen, Ian Dunn, Jeremy Felt, Joe McGill, John James Jacoby, Jonathan Desrosiers, Josepha Haden, Joost de Valk, Mo Jangda, Nick Daugherty, Peter Wilson, Pascal Birchler, Sergey Biryukov y Valentyn Pylypchuk.