WordPress 4.7.1 – acht veiligheidsproblemen zijn opgelost

English version: WordPress 4.7.1 – eight security issues have been fixed

Tijd om te updaten! Volgens rapporten zijn WordPress 4.7 en eerder getroffen door acht beveiligingsproblemen en zijn ze nu opgelost

1. Uitvoering van externe code (RCE) in PHPMailer – Er lijkt geen specifiek probleem van invloed te zijn op WordPress of een van de belangrijkste plug-ins die we hebben onderzocht, maar uit een overvloed aan voorzichtigheid hebben we PHPMailer in deze versie bijgewerkt. Dit probleem werd door Dawid Golunski en Paul Buonopane aan PHPMailer gemeld .
2. De REST-API stelde gebruikersgegevens beschikbaar voor alle gebruikers die een bericht van een openbaar berichttype hadden geschreven. WordPress 4.7.1 beperkt dit tot alleen berichttypen die hebben opgegeven dat ze moeten worden weergegeven in de REST API. Gerapporteerd door Krogsgard en Chris Jean .
3. Cross-site scripting (XSS) via de plugin-naam of update-core.php op update-core.php . Gerapporteerd door Dominik Schilling van het WordPress Security Team.
4. Cross-site request forgery (CSRF) bypass via het uploaden van een Flash-bestand. Gerapporteerd door Abdullah Hussam .
5. Cross-site scripting (XSS) via terugval van themanamen. Gerapporteerd door Mehmet Ince .
6. Post via e-mail controleert mail.example.com als de standaardinstellingen niet zijn gewijzigd. Gerapporteerd door John Blackbourn van het WordPress Security Team.
7. Een cross-site request forgery (CSRF) werd ontdekt in de toegankelijkheidsmodus van het bewerken van widgets. Gerapporteerd door Ronnie Skansing .
8. Zwakke cryptografische beveiliging voor multisite-activeringssleutel. Gerapporteerd door Jack .