WordPress 4.7.1 – huit problèmes de sécurité ont été résolus

English version: WordPress 4.7.1 – eight security issues have been fixed

Il est temps de mettre à jour ! Selon les rapports, WordPress 4.7 et versions antérieures sont affectés par huit problèmes de sécurité et ils sont désormais résolus.

1. Exécution de code à distance (RCE) dans PHPMailer – Aucun problème spécifique ne semble affecter WordPress ou l'un des principaux plugins que nous avons étudiés mais, par prudence, nous avons mis à jour PHPMailer dans cette version. Ce problème a été signalé à PHPMailer par Dawid Golunski et Paul Buonopane .
2. L'API REST a exposé les données utilisateur de tous les utilisateurs qui avaient rédigé une publication de type publication publique. WordPress 4.7.1 limite cela aux seuls types de publications qui ont spécifié qu'elles doivent être affichées dans l'API REST. Rapporté par Krogsgard et Chris Jean .
3. Scripts intersites (XSS) via le nom du plugin ou l'en-tête de version sur update-core.php . Rapporté par Dominik Schilling de l'équipe de sécurité WordPress.
4. Contournement de la falsification de requêtes intersites (CSRF) via le téléchargement d'un fichier Flash. Rapporté par Abdallah Hussam .
5. Scripts intersites (XSS) via le remplacement du nom de thème. Rapporté par Mehmet Ince .
6. La publication par e-mail vérifie mail.example.com si les paramètres par défaut ne sont pas modifiés. Rapporté par John Blackbourn de l'équipe de sécurité WordPress.
7. Une falsification de requêtes intersites (CSRF) a été découverte dans le mode d'accessibilité de l'édition des widgets. Rapporté par Ronnie Skansing .
8. Faible sécurité cryptographique pour la clé d'activation multisite. Rapporté par Jack .