WordPress 4.7.1 – Acht Sicherheitsprobleme wurden behoben
English version: WordPress 4.7.1 – eight security issues have been fixed
Zeit für ein Update! Berichten zufolge sind WordPress 4.7 und frühere Versionen von acht Sicherheitslücken betroffen, die nun behoben sind.
- Remote Code Execution (RCE) in PHPMailer – Es scheint kein spezifisches Problem mit WordPress oder den von uns untersuchten Haupt-Plugins zu geben , dennoch haben wir PHPMailer aus Vorsicht in dieser Version aktualisiert. Dieses Problem wurde PHPMailer von Dawid Golunski und Paul Buonopane gemeldet.
- Die REST-API hat Benutzerdaten aller Benutzer offengelegt, die einen öffentlichen Beitragstyp verfasst haben. WordPress 4.7.1 beschränkt dies auf Beitragstypen, die die Anzeige innerhalb der REST-API angegeben haben. Bericht von Krogsgard und Chris Jean .
- Cross-Site-Scripting (XSS) über den Plugin-Namen oder den Versionsheader in
update-core.php
. Gemeldet von Dominik Schilling vom WordPress Security Team. - Umgehung von Cross-Site-Request-Forgery (CSRF) durch Hochladen einer Flash-Datei. Gemeldet von Abdullah Hussam .
- Cross-Site-Scripting (XSS) durch Theme-Namens-Fallback. Gemeldet von Mehmet Ince .
- Beim Posten per E-Mail wird
mail.example.com
überprüft, sofern die Standardeinstellungen nicht geändert wurden. Gemeldet von John Blackbourn vom WordPress-Sicherheitsteam. - Im Barrierefreiheitsmodus der Widget-Bearbeitung wurde eine Cross-Site-Request-Forgery (CSRF) entdeckt. Gemeldet von Ronnie Skansing .
- Schwache kryptografische Sicherheit für Multisite-Aktivierungsschlüssel. Gemeldet von Jack .
Releases
Next Post
WP Cerber Security 8.6.3
Help