WordPress 4.7.1 – otto problemi di sicurezza sono stati risolti

English version: WordPress 4.7.1 – eight security issues have been fixed

Tempo di aggiornamento! Secondo quanto riferito, WordPress 4.7 e precedenti sono interessati da otto problemi di sicurezza e ora sono riparati

1. Esecuzione di codice remoto (RCE) in PHPMailer – Nessun problema specifico sembra influenzare WordPress o uno dei principali plugin che abbiamo studiato, ma, con grande cautela, abbiamo aggiornato PHPMailer in questa versione. Questo problema è stato segnalato a PHPMailer da Dawid Golunski e Paul Buonopane .
2. L'API REST ha esposto i dati dell'utente per tutti gli utenti che avevano creato un post di un tipo di post pubblico. WordPress 4.7.1 limita questo per pubblicare solo i tipi che hanno specificato che dovrebbero essere mostrati all'interno dell'API REST. Segnalato da Krogsgard e Chris Jean .
3. Cross-site scripting (XSS) tramite il nome del plugin o l'intestazione della versione su update-core.php . Segnalato da Dominik Schilling del team di sicurezza di WordPress.
4. Bypass CSRF (cross-site request forgery) tramite il caricamento di un file Flash. Segnalato da Abdullah Hussam .
5. Cross-site scripting (XSS) tramite il fallback del nome del tema. Segnalato da Mehmet Ince .
6. Pubblica via email controlla mail.example.com se le impostazioni predefinite non vengono modificate. Segnalato da John Blackbourn del team di sicurezza di WordPress.
7. Una violazione delle richieste incrociate (CSRF) è stata scoperta nella modalità di accessibilità della modifica del widget. Segnalato da Ronnie Skansing .
8. Debole sicurezza crittografica per chiave di attivazione multisito. Segnalato da Jack .