WordPress 4.7.1 – naprawiono osiem problemów bezpieczeństwa

English version: WordPress 4.7.1 – eight security issues have been fixed

Czas na aktualizację! Według raportów WordPress 4.7 i wcześniejsze wersje są dotknięte ośmioma problemami bezpieczeństwa, które zostały już naprawione

1. Zdalne wykonywanie kodu (RCE) w PHPMailer – Nie wydaje się, aby konkretny problem dotyczył WordPressa ani żadnej z głównych wtyczek, które badaliśmy, ale z nadmiaru ostrożności zaktualizowaliśmy PHPMailer w tej wersji. Ten problem został zgłoszony do PHPMailer przez Dawida Golunskiego i Paula Buonopane .
2. Interfejs API REST udostępniał dane użytkowników dla wszystkich użytkowników, którzy utworzyli post typu publicznego. WordPress 4.7.1 ogranicza to tylko do typów postów, które określono, że powinny być wyświetlane w interfejsie API REST. Zgłoszone przez Krogsgarda i Chrisa Jeana .
3. Atak typu cross-site scripting (XSS) za pośrednictwem nazwy wtyczki lub nagłówka wersji w update-core.php . Zgłoszone przez Dominika Schillinga z zespołu ds. bezpieczeństwa WordPressa.
4. Ominięcie Cross-site request forgery (CSRF) poprzez przesłanie pliku Flash. Zgłoszone przez Abdullah Hussam .
5. Cross-site scripting (XSS) poprzez fallback nazwy motywu. Zgłoszone przez Mehmet Ince .
6. Post przez e-mail sprawdza mail.example.com , czy ustawienia domyślne nie zostały zmienione. Zgłoszone przez Johna Blackbourna z zespołu ds. bezpieczeństwa WordPress.
7. Odkryto cross-site request forgery (CSRF) w trybie dostępności edycji widżetu. Zgłoszone przez Ronnie Skansing .
8. Słabe kryptograficzne zabezpieczenia dla klucza aktywacyjnego multisite. Zgłoszone przez Jacka .