WordPress 4.7.1 — naprawiono osiem problemów z bezpieczeństwem
English version: WordPress 4.7.1 – eight security issues have been fixed
Czas na aktualizację! Według raportów WordPress 4.7 i wcześniejsze mają osiem problemów z bezpieczeństwem, które zostały naprawione
- Zdalne wykonanie kodu (RCE) w PHPMailer – Wydaje się, że żaden konkretny problem nie wpływa na WordPressa ani na żadną z głównych wtyczek, które badaliśmy, ale ze względu na dużą ostrożność zaktualizowaliśmy PHPMailer w tej wersji. Ten problem został zgłoszony do PHPMailer przez Dawida Golunskiego i Paula Buonopane .
- Interfejs API REST ujawnił dane użytkowników wszystkich użytkowników, którzy opublikowali post typu post publiczny. WordPress 4.7.1 ogranicza to tylko do typów postów, które określiły, że powinny być wyświetlane w interfejsie API REST. Zgłoszone przez Krogsgarda i Chrisa Jeana .
- Cross-site scripting (XSS) poprzez nazwę wtyczki lub nagłówek wersji na
update-core.php
. Zgłoszone przez Dominika Schillinga z zespołu bezpieczeństwa WordPress. - Obejście fałszerstwa żądań między witrynami (CSRF) poprzez przesłanie pliku Flash. Zgłoszone przez Abdullaha Hussama .
- Cross-site scripting (XSS) za pomocą zastępczej nazwy motywu. Zgłoszone przez Mehmeta Ince'a .
- Wysyłanie pocztą e-mail sprawdza adres
mail.example.com
, jeśli ustawienia domyślne nie zostały zmienione. Zgłoszone przez Johna Blackbourna z zespołu bezpieczeństwa WordPress. - W trybie ułatwień dostępu edycji widżetu wykryto fałszerstwo żądań między witrynami (CSRF). Zgłoszone przez Ronniego Skansinga .
- Słabe zabezpieczenia kryptograficzne dla klucza aktywacyjnego dla wielu witryn. Zgłoszone przez Jacka .
Releases
Next Post
WP Cerber Security 8.7
Security Blog