¡WordPress 6.0.3 ya está disponible!

Esta versión incluye varias correcciones de seguridad. Debido a que se trata de una versión de seguridad, se recomienda que actualices tus sitios de inmediato. Todas las versiones desde WordPress 3.7 también se han actualizado.

WordPress 6.0.3 es una versión de ciclo corto. El próximo lanzamiento importante será la versión 6.1 prevista para el 1 de noviembre de 2022.

Si tienes sitios que admiten actualizaciones automáticas en segundo plano, el proceso de actualización comenzará automáticamente.

Puedes descargar WordPress 6.0.3 desde WordPress.org, o visitar tu Escritorio de WordPress, hacer clic en “Actualizaciones” y luego hacer clic en “Actualizar ahora”.

Para obtener más información sobre esta versión, visita el sitio de HelpHub.

Actualizaciones de seguridad incluidas en esta versión

El equipo de seguridad quisiera agradecer a las siguientes personas por informar de manera responsable las vulnerabilidades y permitir que se solucionen en esta versión.

• XSS almacenado a través de wp-mail.php (publicación por correo electrónico) – Toshitsugu Yoneyama de Mitsui Bussan Secure Directions, Inc. a través de JPCERT
• Abrir redirección en wp_nonce_ays – devrayn
• La dirección de correo electrónico del remitente está expuesta en wp-mail.php – Toshitsugu Yoneyama de Mitsui Bussan Secure Directions, Inc. a través de JPCERT
• Biblioteca de medios: XSS reflejado a través de SQLi: Ben Bidner del equipo de seguridad de WordPress y Marc Montpas de Automattic descubrieron este problema de forma independiente
• CSRF en wp-trackback.php – Simon Scannell
• XSS almacenado a través del Personalizador – Alex Concha del equipo de seguridad de WordPress
• Revertir instancias de usuario compartidas introducidas en 50790: Alex Concha y Ben Bidner del equipo de seguridad de WordPress
• XSS almacenado en WordPress Core a través de la edición de comentarios: auditoría de seguridad de terceros y Alex Concha del equipo de seguridad de WordPress
• Exposición de datos a través de REST Terms/Tags Endpoint – Than Taintor
• Se filtró contenido de correos electrónicos de varias partes: Thomas Kräftner
• Inyección SQL debido a una desinfección inadecuada en WP_Date_Query – Michael Mazzolini
• Widget RSS: problema de XSS almacenado: auditoría de seguridad de terceros
• XSS almacenado en el bloque de búsqueda – Alex Concha del equipo de WP Security
• Imagen destacada Bloque: Problema XSS: auditoría de seguridad de terceros
• Bloque RSS: problema de XSS almacenado: auditoría de seguridad de terceros
• Arreglar bloqueo de widgets XSS – Auditoría de seguridad de terceros

Agradecimientos

Este lanzamiento fue dirigido por Alex Concha, Peter Wilson, Jb Audras, y Sergey Biryukov  en el control de la misión. Gracias a Jonathan Desrosiers, Jorge Costa, Bernie Reiter y Carlos Bravo por su ayuda en las actualizaciones de paquetes.

WordPress 6.0.3 no hubiera sido posible sin las contribuciones de las siguientes personas. Su coordinación asíncrona para entregar varias correcciones en una versión estable es un testimonio del poder y la capacidad de la comunidad de WordPress.

Alex Concha, Colin Stewart, Daniel Richards, David Baumwald, Dion Hulse, ehtis, Garth Mortensen, Jb Audras, John Blackbourn, John James Jacoby, Jonathan Desrosiers, Jorge Costa, Juliette Reinders Folmer, Linkon Miyan, martin.krcho, Matias Ventura, Mukesh Panchal, Paul Kevan, Peter Wilson, Robert AndersonRobin, Sergey Biryukov, Sumit Bagthariya, Teddy Patriarca, Timothy Jacobs, vortfu, y Česlav Przywara.