WordPress 4.7.1: se han solucionado ocho problemas de seguridad

English version: WordPress 4.7.1 – eight security issues have been fixed

¡Hora de actualizar! Según los informes, WordPress 4.7 y versiones anteriores se ven afectados por ocho problemas de seguridad y ahora están solucionados.

1. Ejecución remota de código (RCE) en PHPMailer: ningún problema específico parece afectar a WordPress ni a ninguno de los principales complementos que investigamos, pero, por precaución, actualizamos PHPMailer en esta versión. Este problema fue informado a PHPMailer por Dawid Golunski y Paul Buonopane .
2. La API REST expuso los datos de usuario de todos los usuarios que habían escrito una publicación de un tipo de publicación pública. WordPress 4.7.1 limita esto solo a los tipos de publicaciones que han especificado que deben mostrarse dentro de la API REST. Reportado por Krogsgard y Chris Jean .
3. Cross-site scripting (XSS) a través del nombre del complemento o el encabezado de la versión en update-core.php . Informado por Dominik Schilling del equipo de seguridad de WordPress.
4. Omisión de falsificación de solicitud entre sitios (CSRF) mediante la carga de un archivo Flash. Reportado por Abdullah Hussam .
5. Cross-site scripting (XSS) a través de la reserva del nombre del tema. Reportado por Mehmet Ince .
6. La publicación por correo electrónico comprueba mail.example.com si no se modifica la configuración predeterminada. Informado por John Blackbourn del equipo de seguridad de WordPress.
7. Se descubrió una falsificación de solicitud entre sitios (CSRF) en el modo de accesibilidad de la edición de widgets. Reportado por Ronnie Skansing .
8. Seguridad criptográfica débil para la clave de activación multisitio. Reportado por Jack .