Security Blog
Posted By Gregory

WordPress 4.7.1 — naprawiono osiem problemów z bezpieczeństwem


English version: WordPress 4.7.1 – eight security issues have been fixed


Czas na aktualizację! Według raportów WordPress 4.7 i wcześniejsze mają osiem problemów z bezpieczeństwem, które zostały naprawione

  1. Zdalne wykonanie kodu (RCE) w PHPMailer – Wydaje się, że żaden konkretny problem nie wpływa na WordPressa ani na żadną z głównych wtyczek, które badaliśmy, ale ze względu na dużą ostrożność zaktualizowaliśmy PHPMailer w tej wersji. Ten problem został zgłoszony do PHPMailer przez Dawida Golunskiego i Paula Buonopane .
  2. Interfejs API REST ujawnił dane użytkowników wszystkich użytkowników, którzy opublikowali post typu post publiczny. WordPress 4.7.1 ogranicza to tylko do typów postów, które określiły, że powinny być wyświetlane w interfejsie API REST. Zgłoszone przez Krogsgarda i Chrisa Jeana .
  3. Cross-site scripting (XSS) poprzez nazwę wtyczki lub nagłówek wersji na update-core.php . Zgłoszone przez Dominika Schillinga z zespołu bezpieczeństwa WordPress.
  4. Obejście fałszerstwa żądań między witrynami (CSRF) poprzez przesłanie pliku Flash. Zgłoszone przez Abdullaha Hussama .
  5. Cross-site scripting (XSS) za pomocą zastępczej nazwy motywu. Zgłoszone przez Mehmeta Ince'a .
  6. Wysyłanie pocztą e-mail sprawdza adres mail.example.com , jeśli ustawienia domyślne nie zostały zmienione. Zgłoszone przez Johna Blackbourna z zespołu bezpieczeństwa WordPress.
  7. W trybie ułatwień dostępu edycji widżetu wykryto fałszerstwo żądań między witrynami (CSRF). Zgłoszone przez Ronniego Skansinga .
  8. Słabe zabezpieczenia kryptograficzne dla klucza aktywacyjnego dla wielu witryn. Zgłoszone przez Jacka .

I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.

View Comments
There are currently no comments.