Security Blog
Posted By Gregory

WordPress 4.7.1 – 8つのセキュリティ問題が修正されました

English version: WordPress 4.7.1 – eight security issues have been fixed


アップデートの時期です!報告によると、WordPress 4.7およびそれ以前のバージョンは8つのセキュリティ問題の影響を受けており、現在は修正されています。

  1. PHPMailer でのリモート コード実行 (RCE) – 調査したWordPress や主要なプラグインに影響を及ぼす特定の問題は見当たりませんが、念のため、このリリースで PHPMailer を更新しました。この問題は、 Dawid GolunskiPaul Buonopaneによって PHPMailer に報告されました。

  2. REST API は、公開投稿タイプの投稿を作成したすべてのユーザーのユーザーデータを公開していました。WordPress 4.7.1 では、REST API 内で表示するように指定した投稿タイプのみにこれを制限しています。Krogsgard とChris Jeanによって報告されました。

  3. update-core.phpのプラグイン名またはバージョン ヘッダーを介したクロスサイト スクリプティング (XSS)。WordPress セキュリティ チームのDominik Schillingによって報告されました。

  4. Flash ファイルのアップロードによるクロスサイト リクエスト フォージェリ (CSRF) の回避。Abdullah Hussamによって報告されました。

  5. テーマ名フォールバックによるクロスサイト スクリプティング (XSS)。Mehmet Inceによって報告されました。

  6. 電子メールによる投稿では、デフォルト設定が変更されていない場合、 mail.example.comがチェックされます。WordPress セキュリティ チームの John Blackbourn によって報告されました。

  7. ウィジェット編集のアクセシビリティ モードでクロスサイト リクエスト フォージェリ (CSRF) が発見されました。Ronnie Skansingによって報告されました。

  8. マルチサイト アクティベーション キーの暗号化セキュリティが弱い。Jackによって報告されました。

I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.

View Comments
There are currently no comments.