WordPress 4.7.1: se han solucionado ocho problemas de seguridad

English version: WordPress 4.7.1 – eight security issues have been fixed

¡Es hora de actualizar! Según los informes, WordPress 4.7 y versiones anteriores se ven afectadas por ocho problemas de seguridad y ya se han solucionado

1. Ejecución remota de código (RCE) en PHPMailer: no parece que haya ningún problema específico que afecte a WordPress ni a ninguno de los complementos principales que investigamos, pero, por precaución, actualizamos PHPMailer en esta versión. Dawid Golunski y Paul Buonopane informaron sobre este problema a PHPMailer.
2. La API REST expuso los datos de todos los usuarios que habían escrito una publicación de un tipo de publicación pública. WordPress 4.7.1 limita esto únicamente a los tipos de publicaciones que han especificado que deben mostrarse dentro de la API REST. Informado por Krogsgard y Chris Jean .
3. Scripts entre sitios (XSS) a través del nombre del complemento o del encabezado de la versión en update-core.php . Informado por Dominik Schilling del equipo de seguridad de WordPress.
4. Cómo evitar la falsificación de solicitudes entre sitios (CSRF) mediante la carga de un archivo Flash. Informado por Abdullah Hussam .
5. Secuencias de comandos entre sitios (XSS) a través de la sustitución del nombre del tema. Reportado por Mehmet Ince .
6. La publicación por correo electrónico comprueba mail.example.com para comprobar si no se han modificado las configuraciones predeterminadas. Informado por John Blackbourn del equipo de seguridad de WordPress.
7. Se descubrió una falsificación de solicitud entre sitios (CSRF) en el modo de accesibilidad de la edición de widgets. Reportado por Ronnie Skansing .
8. Seguridad criptográfica débil para la clave de activación multisitio. Reportado por Jack .