Security Blog
Posted By Gregory

WordPress 4.7.1 – Acht Sicherheitsprobleme wurden behoben


English version: WordPress 4.7.1 – eight security issues have been fixed


Zeit für ein Update! Berichten zufolge sind WordPress 4.7 und frühere Versionen von acht Sicherheitslücken betroffen, die nun behoben sind.

  1. Remote Code Execution (RCE) in PHPMailer – Es scheint kein spezifisches Problem mit WordPress oder den von uns untersuchten Haupt-Plugins zu geben , dennoch haben wir PHPMailer aus Vorsicht in dieser Version aktualisiert. Dieses Problem wurde PHPMailer von Dawid Golunski und Paul Buonopane gemeldet.
  2. Die REST-API hat Benutzerdaten aller Benutzer offengelegt, die einen öffentlichen Beitragstyp verfasst haben. WordPress 4.7.1 beschränkt dies auf Beitragstypen, die die Anzeige innerhalb der REST-API angegeben haben. Bericht von Krogsgard und Chris Jean .
  3. Cross-Site-Scripting (XSS) über den Plugin-Namen oder den Versionsheader in update-core.php . Gemeldet von Dominik Schilling vom WordPress Security Team.
  4. Umgehung von Cross-Site-Request-Forgery (CSRF) durch Hochladen einer Flash-Datei. Gemeldet von Abdullah Hussam .
  5. Cross-Site-Scripting (XSS) durch Theme-Namens-Fallback. Gemeldet von Mehmet Ince .
  6. Beim Posten per E-Mail wird mail.example.com überprüft, sofern die Standardeinstellungen nicht geändert wurden. Gemeldet von John Blackbourn vom WordPress-Sicherheitsteam.
  7. Im Barrierefreiheitsmodus der Widget-Bearbeitung wurde eine Cross-Site-Request-Forgery (CSRF) entdeckt. Gemeldet von Ronnie Skansing .
  8. Schwache kryptografische Sicherheit für Multisite-Aktivierungsschlüssel. Gemeldet von Jack .

I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.

View Comments
There are currently no comments.