Security Blog

WordPress 4.7.1 – otto problemi di sicurezza sono stati risolti


English version: WordPress 4.7.1 – eight security issues have been fixed


Tempo di aggiornamento! Secondo quanto riferito, WordPress 4.7 e precedenti sono interessati da otto problemi di sicurezza e ora sono riparati

  1. Esecuzione di codice remoto (RCE) in PHPMailer – Nessun problema specifico sembra influenzare WordPress o uno dei principali plugin che abbiamo studiato, ma, con grande cautela, abbiamo aggiornato PHPMailer in questa versione. Questo problema è stato segnalato a PHPMailer da Dawid Golunski e Paul Buonopane .
  2. L'API REST ha esposto i dati dell'utente per tutti gli utenti che avevano creato un post di un tipo di post pubblico. WordPress 4.7.1 limita questo per pubblicare solo i tipi che hanno specificato che dovrebbero essere mostrati all'interno dell'API REST. Segnalato da Krogsgard e Chris Jean .
  3. Cross-site scripting (XSS) tramite il nome del plugin o l'intestazione della versione su update-core.php . Segnalato da Dominik Schilling del team di sicurezza di WordPress.
  4. Bypass CSRF (cross-site request forgery) tramite il caricamento di un file Flash. Segnalato da Abdullah Hussam .
  5. Cross-site scripting (XSS) tramite il fallback del nome del tema. Segnalato da Mehmet Ince .
  6. Pubblica via email controlla mail.example.com se le impostazioni predefinite non vengono modificate. Segnalato da John Blackbourn del team di sicurezza di WordPress.
  7. Una violazione delle richieste incrociate (CSRF) è stata scoperta nella modalità di accessibilità della modifica del widget. Segnalato da Ronnie Skansing .
  8. Debole sicurezza crittografica per chiave di attivazione multisito. Segnalato da Jack .

I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.

View Comments
There are currently no comments.