WordPress 4.7.1 – cuestiones de seguridad y ocho se han fijado
English version: WordPress 4.7.1 – eight security issues have been fixed
¡Hora de actualizar! Según los informes, WordPress 4.7 y versiones anteriores se ven afectados por ocho problemas de seguridad y ahora están solucionados
- Ejecución remota de código (RCE) en PHPMailer: parece que no hay un problema específico que afecte a WordPress ni a ninguno de los complementos principales que investigamos, pero, por precaución, actualizamos PHPMailer en esta versión. Este problema fue reportado a PHPMailer por Dawid Golunski y Paul Buonopane .
- La API REST expuso los datos del usuario para todos los usuarios que habían creado una publicación de un tipo de publicación pública. WordPress 4.7.1 limita esto solo a los tipos de publicaciones que han especificado que deben mostrarse dentro de la API REST. Reportado por Krogsgard y Chris Jean .
- Las secuencias de comandos entre sitios (XSS) a través del nombre del complemento o el encabezado de la versión en
update-core.php
. Reportado por Dominik Schilling del equipo de seguridad de WordPress. - Evitar la falsificación de solicitudes entre sitios (CSRF) al cargar un archivo Flash. Reportado por Abdullah Hussam .
- Creación de scripts entre sitios (XSS) a través del nombre del tema alternativo. Reportado por Mehmet Ince .
- Publicar a través de correo electrónico comprueba
mail.example.com
si la configuración predeterminada no se cambia. Reportado por John Blackbourn del equipo de seguridad de WordPress. - Se detectó una falsificación de solicitud entre sitios (CSRF) en el modo de accesibilidad de la edición de widgets. Reportado por Ronnie Skansing .
- Seguridad criptográfica débil para clave de activación multisitio. Reportado por Jack .
Security Blog
Next Post
Cómo limitar el número de sesiones de usuario concurrentes en WordPress
Releases