WordPress 4.7.1 – acht beveiligingsproblemen zijn opgelost

English version: WordPress 4.7.1 – eight security issues have been fixed

Tijd voor een update! Volgens berichten hebben WordPress 4.7 en ouder last van acht beveiligingsproblemen, die nu zijn opgelost.

1. Remote code execution (RCE) in PHPMailer – Er lijkt geen specifiek probleem te zijn met WordPress of de belangrijkste plugins die we hebben onderzocht, maar uit voorzorg hebben we PHPMailer in deze release bijgewerkt. Dit probleem werd aan PHPMailer gemeld door Dawid Golunski en Paul Buonopane .
2. De REST API stelde gebruikersgegevens beschikbaar van alle gebruikers die een bericht van een openbaar berichttype hadden geschreven. WordPress 4.7.1 beperkt dit tot alleen berichttypen waarvan is aangegeven dat ze binnen de REST API moeten worden weergegeven. Gerapporteerd door Krogsgard en Chris Jean .
3. Cross-site scripting (XSS) via de pluginnaam of versieheader op update-core.php . Gerapporteerd door Dominik Schilling van het WordPress Security Team.
4. Omzeiling van Cross-Site Request Forgery (CSRF) door het uploaden van een Flash-bestand. Gerapporteerd door Abdullah Hussam .
5. Cross-site scripting (XSS) via fallback op themanaam. Gerapporteerd door Mehmet Ince .
6. Berichten via e-mail controleren mail.example.com of de standaardinstellingen niet zijn gewijzigd. Gerapporteerd door John Blackbourn van het WordPress Security Team.
7. Er is een cross-site request forgery (CSRF) ontdekt in de toegankelijkheidsmodus van widgetbewerking. Gerapporteerd door Ronnie Skansing .
8. Zwakke cryptografische beveiliging voor multisite-activeringssleutel. Gerapporteerd door Jack .