Security Blog

WordPress 4.7.1 – huit questions de sécurité ont été corrigés


English version: WordPress 4.7.1 – eight security issues have been fixed


Il est temps de mettre à jour! Selon les rapports, WordPress 4.7 et versions antérieures sont affectées par huit problèmes de sécurité et sont maintenant corrigées

  1. Exécution de code à distance (RCE) dans PHPMailer – Aucun problème spécifique ne semble affecter WordPress ni l’un des principaux plugins sur lesquels nous avons enquêté. Toutefois, par prudence, nous avons mis à jour PHPMailer dans ce communiqué. Ce problème a été signalé à PHMailailer par Dawid Golunski et Paul Buonopane .
  2. L'API REST a exposé les données utilisateur de tous les utilisateurs ayant créé une publication d'un type de publication publique. WordPress 4.7.1 limite cela aux articles suivants qui ont spécifié qu'ils devraient être affichés dans l'API REST. Rapporté par Krogsgard et Chris Jean .
  3. XSS (Cross-Site Scripting) via le nom du plugin ou l’en-tête de version sur update-core.php . Rapporté par Dominik Schilling de l'équipe de sécurité WordPress.
  4. Contournement de la falsification de requêtes intersites (CSRF) via le téléchargement d'un fichier Flash. Rapporté par Abdullah Hussam .
  5. Script intersite (XSS) via un repli de nom de thème. Rapporté par Mehmet Ince .
  6. Poster par e-mail vérifie mail.example.com si les paramètres par défaut ne sont pas modifiés. Rapporté par John Blackbourn de l'équipe de sécurité WordPress.
  7. Une falsification de requête intersite (CSRF) a été découverte dans le mode d'accessibilité de l'édition de widget. Rapporté par Ronnie Skansing .
  8. Sécurité cryptographique faible pour la clé d'activation multisite. Rapporté par Jack .

I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.

View Comments
There are currently no comments.