WordPress 4.7.1 – sono stati risolti otto problemi di sicurezza

English version: WordPress 4.7.1 – eight security issues have been fixed

È ora di aggiornare! Secondo i rapporti WordPress 4.7 e precedenti sono interessati da otto problemi di sicurezza e ora sono stati risolti

1. Esecuzione di codice in modalità remota (RCE) in PHPMailer – Nessun problema specifico sembra interessare WordPress o uno dei principali plug-in che abbiamo esaminato ma, per precauzione, abbiamo aggiornato PHPMailer in questa versione. Questo problema è stato segnalato a PHPMailer da Dawid Golunski e Paul Buonopane .
2. L'API REST ha esposto i dati utente per tutti gli utenti che avevano creato un post di un tipo di post pubblico. WordPress 4.7.1 limita questo solo ai tipi di post che hanno specificato che dovrebbero essere mostrati all'interno dell'API REST. Segnalato da Krogsgard e Chris Jean .
3. Cross-site scripting (XSS) tramite il nome del plugin o l'intestazione della versione su update-core.php . Segnalato da Dominik Schilling del WordPress Security Team.
4. Bypass CSRF (cross-site request forgery) tramite il caricamento di un file Flash. Segnalato da Abdullah Hussam .
5. Cross-site scripting (XSS) tramite fallback del nome del tema. Segnalato da Mehmet Ince .
6. Post via email controlla mail.example.com se le impostazioni predefinite non sono state modificate. Segnalato da John Blackbourn del WordPress Security Team.
7. È stata scoperta una falsificazione di richieste tra siti (CSRF) nella modalità di accessibilità della modifica dei widget. Segnalato da Ronnie Skansing .
8. Sicurezza crittografica debole per la chiave di attivazione multisito. Segnalato da Jack .