WordPress 4.7.1 – sono stati risolti otto problemi di sicurezza.

English version: WordPress 4.7.1 – eight security issues have been fixed

È ora di aggiornare! Secondo quanto riportato, WordPress 4.7 e versioni precedenti erano affette da otto vulnerabilità di sicurezza, che ora sono state risolte.

1. Esecuzione di codice remoto (RCE) in PHPMailer: non sembra esserci alcun problema specifico che interessi WordPress o i principali plugin che abbiamo esaminato, ma, per eccesso di cautela, abbiamo aggiornato PHPMailer in questa versione. Questo problema è stato segnalato a PHPMailer da Dawid Golunski e Paul Buonopane .
2. L'API REST esponeva i dati di tutti gli utenti che avevano pubblicato un post di tipo pubblico. WordPress 4.7.1 limita questa possibilità ai soli tipi di post che hanno specificato di dover essere visualizzati tramite l'API REST. Segnalato da Krogsgard e Chris Jean .
3. Vulnerabilità di cross-site scripting (XSS) tramite l'intestazione del nome o della versione del plugin nel update-core.php . Segnalata da Dominik Schilling del team di sicurezza di WordPress.
4. Vulnerabilità di tipo Cross-Site Request Forgery (CSRF) tramite caricamento di un file Flash. Segnalato da Abdullah Hussam .
5. Vulnerabilità di cross-site scripting (XSS) tramite fallback del nome del tema. Segnalata da Mehmet Ince .
6. Il sistema controlla mail.example.com se le impostazioni predefinite non sono state modificate in caso di invio tramite e-mail. Segnalato da John Blackbourn del team di sicurezza di WordPress.
7. È stata scoperta una vulnerabilità di tipo cross-site request forgery (CSRF) nella modalità di accessibilità della modifica dei widget. Segnalazione di Ronnie Skansing .
8. Debole sicurezza crittografica per la chiave di attivazione multisito. Segnalato da Jack .