WordPress 4.7.1 – 8つのセキュリティ問題が修正されました

English version: WordPress 4.7.1 – eight security issues have been fixed

アップデートの時期です！報告によると、WordPress 4.7以前のバージョンには8つのセキュリティ問題がありましたが、現在は修正されています。

1. PHPMailer におけるリモートコード実行（RCE） – 調査したWordPressや主要プラグインには具体的な問題は見当たりませんが、万全を期すため、今回のリリースでPHPMailerを更新しました。この問題は、 Dawid Golunski氏とPaul Buonopane氏によってPHPMailerに報告されました。
2. REST API は、公開投稿タイプの投稿を作成したすべてのユーザーのユーザーデータを公開していました。WordPress 4.7.1 では、REST API 内で表示するように指定された投稿タイプのみにこれを制限しています。Krogsgard とChris Jeanによる報告。
3. update-core.phpのプラグイン名またはバージョンヘッダーを介したクロスサイトスクリプティング（XSS）の脆弱性。WordPressセキュリティチームのDominik Schilling氏によって報告されました。
4. Flashファイルのアップロードによるクロスサイトリクエストフォージェリ（CSRF）の回避。Abdullah Hussam氏による報告。
5. テーマ名のフォールバックによるクロスサイトスクリプティング（XSS）。Mehmet Ince 氏によって報告されました。
6. デフォルト設定が変更されていない場合、メール経由の投稿はmail.example.comをチェックします。WordPress セキュリティチームの John Blackbourn による報告です。
7. ウィジェット編集のアクセシビリティモードにおいて、クロスサイトリクエストフォージェリ（CSRF）が発見されました。Ronnie Skansingによる報告。
8. マルチサイトアクティベーションキーの暗号化セキュリティが弱い。Jackによる報告。