WordPress 4.7.1 – Acht Sicherheitsprobleme wurden behoben

English version: WordPress 4.7.1 – eight security issues have been fixed

Zeit für ein Update! Berichten zufolge sind WordPress 4.7 und frühere Versionen von acht Sicherheitslücken betroffen, die nun behoben sind.

1. Remote Code Execution (RCE) in PHPMailer – Es scheint kein spezifisches Problem mit WordPress oder den von uns untersuchten Haupt-Plugins zu geben , dennoch haben wir PHPMailer aus Vorsicht in dieser Version aktualisiert. Dieses Problem wurde PHPMailer von Dawid Golunski und Paul Buonopane gemeldet.
2. Die REST-API hat Benutzerdaten aller Benutzer offengelegt, die einen öffentlichen Beitragstyp verfasst haben. WordPress 4.7.1 beschränkt dies auf Beitragstypen, die die Anzeige innerhalb der REST-API angegeben haben. Bericht von Krogsgard und Chris Jean .
3. Cross-Site-Scripting (XSS) über den Plugin-Namen oder den Versionsheader in update-core.php . Gemeldet von Dominik Schilling vom WordPress Security Team.
4. Umgehung von Cross-Site-Request-Forgery (CSRF) durch Hochladen einer Flash-Datei. Gemeldet von Abdullah Hussam .
5. Cross-Site-Scripting (XSS) durch Theme-Namens-Fallback. Gemeldet von Mehmet Ince .
6. Beim Posten per E-Mail wird mail.example.com überprüft, sofern die Standardeinstellungen nicht geändert wurden. Gemeldet von John Blackbourn vom WordPress-Sicherheitsteam.
7. Im Barrierefreiheitsmodus der Widget-Bearbeitung wurde eine Cross-Site-Request-Forgery (CSRF) entdeckt. Gemeldet von Ronnie Skansing .
8. Schwache kryptografische Sicherheit für Multisite-Aktivierungsschlüssel. Gemeldet von Jack .