WordPress 4.7.1 – acht beveiligingsproblemen zijn opgelost

English version: WordPress 4.7.1 – eight security issues have been fixed

Tijd om te updaten! Volgens rapporten worden WordPress 4.7 en eerder getroffen door acht beveiligingsproblemen en zijn deze nu verholpen

1. Externe code-uitvoering (RCE) in PHPMailer – Er lijkt geen specifiek probleem van invloed te zijn op WordPress of een van de belangrijkste plug-ins die we hebben onderzocht, maar uit voorzorg hebben we PHPMailer in deze release bijgewerkt. Dit probleem is gemeld aan PHPMailer door Dawid Golunski en Paul Buonopane .
2. De REST API heeft gebruikersgegevens vrijgegeven voor alle gebruikers die een bericht van een openbaar berichttype hadden geschreven. WordPress 4.7.1 beperkt dit tot alleen berichttypes die hebben gespecificeerd dat ze binnen de REST API moeten worden weergegeven. Gerapporteerd door Krogsgard en Chris Jean .
3. Cross-site scripting (XSS) via de plug-innaam of versiekop op update-core.php . Gerapporteerd door Dominik Schilling van het WordPress-beveiligingsteam.
4. Cross-site request forgery (CSRF) omzeilen door een Flash-bestand te uploaden. Overgeleverd door Abdullah Hussam .
5. Cross-site scripting (XSS) via fallback themanaam. Gemeld door Mehmet Ince .
6. Posten via e-mail controleert mail.example.com of de standaardinstellingen niet zijn gewijzigd. Gerapporteerd door John Blackbourn van het WordPress-beveiligingsteam.
7. Er is een cross-site request forgery (CSRF) ontdekt in de toegankelijkheidsmodus van widgetbewerking. Gemeld door Ronnie Skansing .
8. Zwakke cryptografische beveiliging voor activeringssleutel voor meerdere sites. Gerapporteerd door Jack .