WordPress 4.7.1 – acht beveiligingsproblemen zijn opgelost

English version: WordPress 4.7.1 – eight security issues have been fixed

Tijd om te updaten! Volgens rapporten worden WordPress 4.7 en eerder getroffen door acht beveiligingsproblemen en zijn deze nu opgelost

1. Uitvoering van externe code (RCE) in PHPMailer – Er lijkt geen specifiek probleem van invloed te zijn op WordPress of een van de belangrijkste plug-ins die we hebben onderzocht, maar uit grote voorzichtigheid hebben we PHPMailer in deze release bijgewerkt. Dit probleem is gemeld aan PHPMailer door Dawid Golunski en Paul Buonopane .
2. De REST API stelde gebruikersgegevens beschikbaar voor alle gebruikers die een bericht van een openbaar berichttype hadden geschreven. WordPress 4.7.1 beperkt dit tot alleen berichttypen die hebben gespecificeerd dat ze binnen de REST API moeten worden weergegeven. Gerapporteerd door Krogsgard en Chris Jean .
3. Cross-site scripting (XSS) via de plug-innaam of versieheader op update-core.php . Gerapporteerd door Dominik Schilling van het WordPress-beveiligingsteam.
4. Cross-site request forgery (CSRF) wordt omzeild door een Flash-bestand te uploaden. Overgeleverd door Abdullah Hussam .
5. Cross-site scripting (XSS) via fallback voor themanamen. Gerapporteerd door Mehmet Ince .
6. Bij posten via e-mail wordt gecontroleerd of de standaardinstellingen van mail.example.com niet zijn gewijzigd. Gerapporteerd door John Blackbourn van het WordPress-beveiligingsteam.
7. Er is een cross-site request forgery (CSRF) ontdekt in de toegankelijkheidsmodus van het bewerken van widgets. Gerapporteerd door Ronnie Skansing .
8. Zwakke cryptografische beveiliging voor activeringssleutel voor meerdere locaties. Gerapporteerd door Jac .