WordPress 4.7.1 – otto problemi di sicurezza sono stati risolti
English version: WordPress 4.7.1 – eight security issues have been fixed
Tempo di aggiornamento! Secondo quanto riferito, WordPress 4.7 e precedenti sono interessati da otto problemi di sicurezza e ora sono riparati
- Esecuzione di codice remoto (RCE) in PHPMailer – Nessun problema specifico sembra influenzare WordPress o uno dei principali plugin che abbiamo studiato, ma, con grande cautela, abbiamo aggiornato PHPMailer in questa versione. Questo problema è stato segnalato a PHPMailer da Dawid Golunski e Paul Buonopane .
- L'API REST ha esposto i dati dell'utente per tutti gli utenti che avevano creato un post di un tipo di post pubblico. WordPress 4.7.1 limita questo per pubblicare solo i tipi che hanno specificato che dovrebbero essere mostrati all'interno dell'API REST. Segnalato da Krogsgard e Chris Jean .
- Cross-site scripting (XSS) tramite il nome del plugin o l'intestazione della versione su
update-core.php
. Segnalato da Dominik Schilling del team di sicurezza di WordPress. - Bypass CSRF (cross-site request forgery) tramite il caricamento di un file Flash. Segnalato da Abdullah Hussam .
- Cross-site scripting (XSS) tramite il fallback del nome del tema. Segnalato da Mehmet Ince .
- Pubblica via email controlla
mail.example.com
se le impostazioni predefinite non vengono modificate. Segnalato da John Blackbourn del team di sicurezza di WordPress. - Una violazione delle richieste incrociate (CSRF) è stata scoperta nella modalità di accessibilità della modifica del widget. Segnalato da Ronnie Skansing .
- Debole sicurezza crittografica per chiave di attivazione multisito. Segnalato da Jack .
Security Blog
Next Post
Come limitare il numero di sessioni utente simultanee in WordPress
Releases