WordPress 4.7.1 – acht beveiligingsproblemen zijn opgelost.

English version: WordPress 4.7.1 – eight security issues have been fixed

Tijd voor een update! Volgens berichten kampten WordPress 4.7 en eerdere versies met acht beveiligingsproblemen, die nu zijn opgelost.

1. Remote code execution (RCE) in PHPMailer – Er lijkt geen specifiek probleem te zijn dat WordPress of een van de onderzochte grote plugins treft , maar uit voorzorg hebben we PHPMailer in deze release bijgewerkt. Dit probleem werd aan PHPMailer gemeld door Dawid Golunski en Paul Buonopane .
2. De REST API toonde gebruikersgegevens van alle gebruikers die een bericht van een openbaar berichttype hadden geschreven. WordPress 4.7.1 beperkt dit tot alleen berichttypes die hebben aangegeven dat ze binnen de REST API moeten worden weergegeven. Gemeld door Krogsgard en Chris Jean .
3. Cross-site scripting (XSS) via de pluginnaam of versieheader in update-core.php . Gemeld door Dominik Schilling van het WordPress-beveiligingsteam.
4. Het omzeilen van een CSRF-beveiliging (cross-site request forgery) door het uploaden van een Flash-bestand. Gemeld door Abdullah Hussam .
5. Cross-site scripting (XSS) via fallback met themanaam. Gemeld door Mehmet Ince .
6. Bij het versturen van een e-mailbericht wordt gecontroleerd of de standaardinstellingen mail.example.com niet zijn gewijzigd. Dit is gemeld door John Blackbourn van het WordPress-beveiligingsteam.
7. Er is een cross-site request forgery (CSRF)-aanval ontdekt in de toegankelijkheidsmodus van de widgetbewerking. Gemeld door Ronnie Skansing .
8. Zwakke cryptografische beveiliging voor de activeringssleutel voor meerdere locaties. Gemeld door Jack .