WordPress 4.7.1: se han solucionado ocho problemas de seguridad

English version: WordPress 4.7.1 – eight security issues have been fixed

¡Es hora de actualizar! Según informes, WordPress 4.7 y versiones anteriores se ven afectados por ocho problemas de seguridad y ahora están solucionados.

1. Ejecución remota de código (RCE) en PHPMailer: ningún problema específico parece afectar a WordPress ni a ninguno de los complementos principales que investigamos pero, por precaución, actualizamos PHPMailer en esta versión. Dawid Golunski y Paul Buonopane informaron de este problema a PHPMailer.
2. La API REST expuso datos de usuario para todos los usuarios que habían escrito una publicación de tipo público. WordPress 4.7.1 limita esto solo a tipos de publicaciones que hayan especificado que deben mostrarse dentro de la API REST. Reportado por Krogsgard y Chris Jean .
3. Secuencias de comandos entre sitios (XSS) a través del nombre del complemento o el encabezado de la versión en update-core.php . Reportado por Dominik Schilling del equipo de seguridad de WordPress.
4. Omisión de falsificación de solicitudes entre sitios (CSRF) mediante la carga de un archivo Flash. Reportado por Abdullah Hussam .
5. Secuencias de comandos entre sitios (XSS) a través del respaldo del nombre del tema. Reportado por Mehmet Ince .
6. La publicación por correo electrónico verifica mail.example.com si la configuración predeterminada no se cambia. Reportado por John Blackbourn del equipo de seguridad de WordPress.
7. Se descubrió una falsificación de solicitud entre sitios (CSRF) en el modo de accesibilidad de edición de widgets. Reportado por Ronnie Skansing .
8. Seguridad criptográfica débil para la clave de activación multisitio. Reportado por Jack .