WordPress 4.7.1 – huit failles de sécurité ont été corrigées

English version: WordPress 4.7.1 – eight security issues have been fixed

Il est temps de mettre à jour ! D'après les rapports, WordPress 4.7 et les versions antérieures étaient affectées par huit failles de sécurité, désormais corrigées.

1. Exécution de code à distance (RCE) dans PHPMailer – Aucun problème spécifique ne semble affecter WordPress ni les principaux plugins que nous avons analysés. Par mesure de précaution, nous avons toutefois mis à jour PHPMailer dans cette version. Ce problème a été signalé à PHPMailer par Dawid Golunski et Paul Buonopane .
2. L'API REST exposait les données de tous les utilisateurs ayant publié un article public. WordPress 4.7.1 limite cet accès aux seuls types d'articles pour lesquels l'affichage dans l'API REST a été spécifié. Signalé par Krogsgard et Chris Jean .
3. Vulnérabilité de type cross-site scripting (XSS) via l'en-tête du nom ou de la version du plugin dans update-core.php . Signalée par Dominik Schilling de l'équipe de sécurité WordPress.
4. Contournement de la falsification de requête intersite (CSRF) par le biais du téléchargement d'un fichier Flash. Signalé par Abdullah Hussam .
5. Vulnérabilité d'exécution intersite (XSS) via le repli du nom du thème. Signalée par Mehmet Ince .
6. L'envoi de messages par e-mail vérifie mail.example.com si les paramètres par défaut ne sont pas modifiés. Signalé par John Blackbourn de l'équipe de sécurité WordPress.
7. Une vulnérabilité de type CSRF (Cross-Site Request Forgery) a été découverte dans le mode d'accessibilité de l'édition de widgets. Signalée par Ronnie Skansing .
8. Faiblesse du chiffrement de la clé d'activation multisite. Signalé par Jack .