WordPress 4.7.1 – Acht Sicherheitsprobleme wurden behoben

English version: WordPress 4.7.1 – eight security issues have been fixed

Zeit für ein Update! Berichten zufolge sind WordPress 4.7 und früher von acht Sicherheitsproblemen betroffen, die nun behoben sind

1. Remote Code Execution (RCE) in PHPMailer – Es scheint kein spezifisches Problem zu geben, das WordPress oder eines der wichtigsten von uns untersuchten Plugins betrifft, aber aus großer Vorsicht haben wir PHPMailer in dieser Version aktualisiert. Dieses Problem wurde PHPMailer von Dawid Golunski und Paul Buonopane gemeldet.
2. Die REST-API stellte Benutzerdaten für alle Benutzer offen, die einen Beitrag vom Typ „öffentlicher Beitrag“ verfasst hatten. WordPress 4.7.1 beschränkt dies auf Beitragstypen, die angegeben haben, dass sie innerhalb der REST-API angezeigt werden sollen. Berichtet von Krogsgard und Chris Jean .
3. Cross-Site-Scripting (XSS) über den Plugin-Namen oder Versionsheader auf update-core.php . Berichtet von Dominik Schilling vom WordPress Security Team.
4. Umgehung von Cross-Site Request Forgery (CSRF) durch Hochladen einer Flash-Datei. Berichtet von Abdullah Hussam .
5. Cross-Site-Scripting (XSS) über Theme-Namen-Fallback. Berichtet von Mehmet Ince .
6. Beim Posten per E-Mail wird mail.example.com überprüft, ob die Standardeinstellungen nicht geändert wurden. Bericht von John Blackbourn vom WordPress-Sicherheitsteam.
7. Im Barrierefreiheitsmodus der Widget-Bearbeitung wurde ein Cross-Site-Request-Forgery (CSRF) entdeckt. Berichtet von Ronnie Skansing .
8. Schwache kryptografische Sicherheit für Multisite-Aktivierungsschlüssel. Von Jack berichtet.