WordPress 4.7.1 – kwestie bezpieczeństwa osiem zostały ustalone
English version: WordPress 4.7.1 – eight security issues have been fixed
Czas na aktualizację! Zgodnie z raportami WordPress 4.7 i wcześniejsze dotyczyło ośmiu problemów bezpieczeństwa, a teraz są one naprawione
- Zdalne wykonanie kodu (RCE) w PHPMailer – Wydaje się, że żaden konkretny problem nie wpływa na WordPressa ani żadną z głównych wtyczek, które badaliśmy, ale z powodu dużej ostrożności, zaktualizowaliśmy PHPMailera w tej wersji. Ten problem został zgłoszony PHPMailerowi przez Dawida Golunskiego i Paula Buonopane .
- Interfejs API REST udostępnił dane użytkownika dla wszystkich użytkowników, którzy napisali post typu publicznego. WordPress 4.7.1 ogranicza to tylko do wysyłania typów, które określają, że powinny być wyświetlane w interfejsie API REST. Zgłaszane przez Krogsgarda i Chrisa Jean .
-
update-core.php
krzyżowe (XSS) za pośrednictwem nazwy wtyczki lub nagłówka wersji wupdate-core.php
. Raportowany przez Dominika Schillinga z zespołu bezpieczeństwa WordPress. - Pomijanie fałszowania żądań krzyżowych (CSRF) przez przesyłanie pliku Flash. Zgłoszone przez Abdullaha Hussama .
- Cross-site scripting (XSS) za pośrednictwem nazwy tematu. Zgłoszone przez Mehmeta Ince'a .
- Wyślij pocztą e-mail sprawdza adres
mail.example.com
jeśli ustawienia domyślne nie zostaną zmienione. Zgłoszony przez Johna Blackbourna z zespołu bezpieczeństwa WordPress. - W trybie ułatwień dostępu do edycji widgetów wykryto fałszowanie żądań krzyżowych (CSRF). Zgłoszone przez Ronniego Skansinga .
- Słabe bezpieczeństwo kryptograficzne dla wielostanowiskowego klucza aktywacyjnego. Zgłoszone przez Jacka .
Security Blog
Next Post
Jak ograniczyć liczbę jednoczesnych sesji użytkowników w WordPress
Releases