WordPress 4.7.1: risolti otto problemi di sicurezza

English version: WordPress 4.7.1 – eight security issues have been fixed

È ora di aggiornare! Secondo alcune segnalazioni, WordPress 4.7 e le versioni precedenti sono affette da otto problemi di sicurezza, che ora sono stati risolti.

1. Esecuzione di codice remoto (RCE) in PHPMailer – Nessun problema specifico sembra riguardare WordPress o i principali plugin che abbiamo esaminato, ma, per eccesso di cautela, abbiamo aggiornato PHPMailer in questa versione. Questo problema è stato segnalato a PHPMailer da Dawid Golunski e Paul Buonopane .
2. L'API REST ha esposto i dati utente di tutti gli utenti che hanno scritto un post di tipo pubblico. WordPress 4.7.1 limita questa possibilità ai soli tipi di post che hanno specificato di essere visualizzati all'interno dell'API REST. Segnalato da Krogsgard e Chris Jean .
3. Cross-site scripting (XSS) tramite il nome del plugin o l'intestazione della versione su update-core.php . Segnalato da Dominik Schilling del WordPress Security Team.
4. Aggiramento della richiesta cross-site falsificata (CSRF) tramite caricamento di un file Flash. Segnalato da Abdullah Hussam .
5. Cross-site scripting (XSS) tramite fallback del nome del tema. Segnalato da Mehmet Ince .
6. La pubblicazione via email controlla mail.example.com se le impostazioni predefinite non sono state modificate. Segnalato da John Blackbourn del WordPress Security Team.
7. È stata scoperta una richiesta cross-site falsificata (CSRF) nella modalità di accessibilità della modifica dei widget. Segnalato da Ronnie Skansing .
8. Sicurezza crittografica debole per la chiave di attivazione multisito. Segnalato da Jack .