WordPress 4.7.1 – naprawiono osiem problemów związanych z bezpieczeństwem

English version: WordPress 4.7.1 – eight security issues have been fixed

Czas na aktualizację! Według raportów WordPress 4.7 i wcześniejsze wersje dotknięte są ośmioma problemami bezpieczeństwa, które zostały już naprawione

1. Zdalne wykonanie kodu (RCE) w PHPMailer – nie wydaje się, aby jakiś konkretny problem miał wpływ na WordPressa lub którąkolwiek z głównych wtyczek, które sprawdziliśmy, ale ze względów ostrożności zaktualizowaliśmy PHPMailer w tej wersji. Problem ten zgłosili PHPMailerowi Dawid Golunski i Paul Buonopane .
2. Interfejs API REST udostępnił dane użytkowników wszystkim użytkownikom, którzy napisali post typu publicznego. WordPress 4.7.1 ogranicza to tylko do typów postów, które określiły, że powinny być wyświetlane w interfejsie API REST. Zgłoszone przez Krogsgarda i Chrisa Jeana .
3. Skrypty między witrynami (XSS) za pośrednictwem nazwy wtyczki lub nagłówka wersji w update-core.php . Zgłoszone przez Dominika Schillinga z zespołu ds. bezpieczeństwa WordPress.
4. Obejście fałszerstwa żądań między witrynami (CSRF) poprzez przesłanie pliku Flash. Doniesienia Abdullaha Hussama .
5. Skrypty między witrynami (XSS) poprzez zastępczą nazwę motywu. Zgłoszone przez Mehmeta Ince’a .
6. Opublikowanie przez e-mail sprawdza mail.example.com jeśli ustawienia domyślne nie zostały zmienione. Zgłoszone przez Johna Blackbourna z zespołu ds. bezpieczeństwa WordPress.
7. W trybie dostępności edycji widżetu wykryto fałszerstwo żądań między witrynami (CSRF). Zgłoszone przez Ronniego Skansinga .
8. Słabe zabezpieczenia kryptograficzne klucza aktywacyjnego dla wielu lokalizacji. Zgłoszone przez Jacka .