WordPress 4.7.1: se han solucionado ocho problemas de seguridad
English version: WordPress 4.7.1 – eight security issues have been fixed
¡Es hora de actualizar! Según informes, WordPress 4.7 y versiones anteriores se ven afectados por ocho problemas de seguridad y ahora están solucionados.
- Ejecución remota de código (RCE) en PHPMailer: ningún problema específico parece afectar a WordPress ni a ninguno de los complementos principales que investigamos pero, por precaución, actualizamos PHPMailer en esta versión. Dawid Golunski y Paul Buonopane informaron de este problema a PHPMailer.
- La API REST expuso datos de usuario para todos los usuarios que habían escrito una publicación de tipo público. WordPress 4.7.1 limita esto solo a tipos de publicaciones que hayan especificado que deben mostrarse dentro de la API REST. Reportado por Krogsgard y Chris Jean .
- Secuencias de comandos entre sitios (XSS) a través del nombre del complemento o el encabezado de la versión en
update-core.php
. Reportado por Dominik Schilling del equipo de seguridad de WordPress. - Omisión de falsificación de solicitudes entre sitios (CSRF) mediante la carga de un archivo Flash. Reportado por Abdullah Hussam .
- Secuencias de comandos entre sitios (XSS) a través del respaldo del nombre del tema. Reportado por Mehmet Ince .
- La publicación por correo electrónico verifica
mail.example.com
si la configuración predeterminada no se cambia. Reportado por John Blackbourn del equipo de seguridad de WordPress. - Se descubrió una falsificación de solicitud entre sitios (CSRF) en el modo de accesibilidad de edición de widgets. Reportado por Ronnie Skansing .
- Seguridad criptográfica débil para la clave de activación multisitio. Reportado por Jack .
Security Blog
Next Post
WordPress 5.4.1. Una actualización de seguridad corrige siete vulnerabilidades XSS
Releases