WordPress 4.7.3 – six failles de sécurité ont été corrigées

English version: WordPress 4.7.3 – six security issues has been fixed

Il s'agit d'une mise à jour de sécurité pour toutes les versions précédentes et nous vous encourageons vivement à mettre à jour vos sites immédiatement.

Les versions 4.7.2 et antérieures de WordPress sont affectées par six problèmes de sécurité :

1. Vulnérabilité d'exécution de script intersite (XSS) via les métadonnées de fichiers multimédias. Signalée par Chris Andrè Dale , Yorick Koster et Simon P. Briggs.
2. Les caractères de contrôle peuvent tromper la validation des URL de redirection. Signalé par Daniel Chatfield .
3. Les fichiers indésirables peuvent être supprimés par les administrateurs via la fonctionnalité de suppression du plugin. Signalé par xuliang .
4. Vulnérabilité de type Cross-Site Scripting (XSS) via l'URL de vidéos intégrées à YouTube. Signalée par Marc Montpas .
5. Vulnérabilité de type Cross-site scripting (XSS) via les noms de termes de taxonomie. Signalée par Delta .
6. Falsification de requête intersite (CSRF) chez Press This, entraînant une utilisation excessive des ressources serveur. Signalée par Sipke Mellema.

Outre les problèmes de sécurité mentionnés ci-dessus, 12 bugs dans l'API REST ont été corrigés. Voilà donc 12 nouvelles raisons de restreindre l'accès ou de désactiver complètement l'API REST, comme je l'ai déjà recommandé .