WordPress 4.7.1: se han solucionado ocho problemas de seguridad
English version: WordPress 4.7.1 – eight security issues have been fixed
¡Hora de actualizar! Según los informes, WordPress 4.7 y versiones anteriores se ven afectados por ocho problemas de seguridad y ahora están solucionados.
- Ejecución remota de código (RCE) en PHPMailer: ningún problema específico parece afectar a WordPress ni a ninguno de los principales complementos que investigamos, pero, por precaución, actualizamos PHPMailer en esta versión. Este problema fue informado a PHPMailer por Dawid Golunski y Paul Buonopane .
- La API REST expuso los datos de usuario de todos los usuarios que habían escrito una publicación de un tipo de publicación pública. WordPress 4.7.1 limita esto solo a los tipos de publicaciones que han especificado que deben mostrarse dentro de la API REST. Reportado por Krogsgard y Chris Jean .
- Cross-site scripting (XSS) a través del nombre del complemento o el encabezado de la versión en
update-core.php
. Informado por Dominik Schilling del equipo de seguridad de WordPress. - Omisión de falsificación de solicitud entre sitios (CSRF) mediante la carga de un archivo Flash. Reportado por Abdullah Hussam .
- Cross-site scripting (XSS) a través de la reserva del nombre del tema. Reportado por Mehmet Ince .
- La publicación por correo electrónico comprueba
mail.example.com
si no se modifica la configuración predeterminada. Informado por John Blackbourn del equipo de seguridad de WordPress. - Se descubrió una falsificación de solicitud entre sitios (CSRF) en el modo de accesibilidad de la edición de widgets. Reportado por Ronnie Skansing .
- Seguridad criptográfica débil para la clave de activación multisitio. Reportado por Jack .
Security Blog
Next Post
Cómo limitar el número de sesiones de usuarios concurrentes en WordPress
Releases