4.7.1 WordPress – acht Sicherheitsprobleme wurden behoben

English version: WordPress 4.7.1 – eight security issues have been fixed

Zeit für ein Update! Berichten zufolge sind WordPress 4.7 und früher von acht Sicherheitsproblemen betroffen und nun behoben

1. Remotecodeausführung (RCE) in PHPMailer – Kein spezifisches Problem scheint WordPress oder eines der von uns untersuchten Plugins zu betreffen. In dieser Version haben wir jedoch PHPMailer aus Vorsicht aktualisiert. Dieses Problem wurde PHPMailer von Dawid Golunski und Paul Buonopane gemeldet .
2. Die REST-API hat Benutzerdaten für alle Benutzer verfügbar gemacht, die einen Beitrag mit einem öffentlichen Beitragstyp erstellt haben. WordPress 4.7.1 beschränkt dies auf Posttypen, bei denen angegeben wurde, dass sie in der REST-API angezeigt werden sollen. Berichtet von Krogsgard und Chris Jean .
3. Cross-Site-Scripting (XSS) über den Plugin-Namen oder den Versionsheader in update-core.php . Berichtet von Dominik Schilling vom WordPress Security Team.
4. Umgehung von Cross-Site Request Forgery (CSRF) durch Hochladen einer Flash-Datei. Berichtet von Abdullah Hussam .
5. Cross-Site-Scripting (XSS) über den Fallnamen des Themennamens. Berichtet von Mehmet Ince .
6. mail.example.com E-Mail mail.example.com prüft mail.example.com ob die Standardeinstellungen nicht geändert wurden. Berichtet von John Blackbourn vom WordPress Security Team.
7. Im Accessibility-Modus der Widget-Bearbeitung wurde eine Cross-Site-Request-Fälschung (CSRF) entdeckt. Berichtet von Ronnie Skansing .
8. Schwache kryptografische Sicherheit für Aktivierungsschlüssel mit mehreren Standorten. Berichtet von Jack .