WordPress 4.7.1 – Acht Sicherheitslücken wurden behoben

English version: WordPress 4.7.1 – eight security issues have been fixed

Zeit für ein Update! Berichten zufolge waren WordPress 4.7 und ältere Versionen von acht Sicherheitslücken betroffen, die nun behoben wurden.

1. Remote-Code-Ausführung (RCE) in PHPMailer – Es scheint kein spezifisches Problem zu geben, das WordPress oder eines der von uns untersuchten Haupt-Plugins betrifft. Vorsichtshalber haben wir PHPMailer jedoch in dieser Version aktualisiert. Dieses Problem wurde von Dawid Golunski und Paul Buonopane an PHPMailer gemeldet.
2. Die REST-API gab Nutzerdaten für alle Nutzer preis, die einen Beitrag eines öffentlichen Beitragstyps verfasst hatten. WordPress 4.7.1 beschränkt dies auf Beitragstypen, die explizit für die Anzeige in der REST-API ausgewählt wurden. Gemeldet von Krogsgard und Chris Jean .
3. Cross-Site-Scripting (XSS) über den Plugin-Namen oder die Versionsangabe in der update-core.php . Gemeldet von Dominik Schilling vom WordPress-Sicherheitsteam.
4. Umgehung der Cross-Site-Request-Forgery-Sicherheitslücke (CSRF) durch Hochladen einer Flash-Datei. Gemeldet von Abdullah Hussam .
5. Cross-Site-Scripting (XSS) über Theme-Namens-Fallback. Gemeldet von Mehmet Ince .
6. Der E-Mail-Versand prüft mail.example.com sofern die Standardeinstellungen nicht geändert wurden. Gemeldet von John Blackbourn vom WordPress-Sicherheitsteam.
7. Im Barrierefreiheitsmodus der Widget-Bearbeitung wurde eine Cross-Site-Request-Forgery-Schwachstelle (CSRF) entdeckt. Gemeldet von Ronnie Skansing .
8. Schwache kryptografische Sicherheit für den standortübergreifenden Aktivierungsschlüssel. Gemeldet von Jack .