WordPress 4.7.1 – kwestie bezpieczeństwa osiem zostały ustalone

English version: WordPress 4.7.1 – eight security issues have been fixed

Czas na aktualizację! Zgodnie z raportami WordPress 4.7 i wcześniejsze dotyczyło ośmiu problemów bezpieczeństwa, a teraz są one naprawione

1. Zdalne wykonanie kodu (RCE) w PHPMailer – Wydaje się, że żaden konkretny problem nie wpływa na WordPressa ani żadną z głównych wtyczek, które badaliśmy, ale z powodu dużej ostrożności, zaktualizowaliśmy PHPMailera w tej wersji. Ten problem został zgłoszony PHPMailerowi przez Dawida Golunskiego i Paula Buonopane .
2. Interfejs API REST udostępnił dane użytkownika dla wszystkich użytkowników, którzy napisali post typu publicznego. WordPress 4.7.1 ogranicza to tylko do wysyłania typów, które określają, że powinny być wyświetlane w interfejsie API REST. Zgłaszane przez Krogsgarda i Chrisa Jean .
3. update-core.php krzyżowe (XSS) za pośrednictwem nazwy wtyczki lub nagłówka wersji w update-core.php . Raportowany przez Dominika Schillinga z zespołu bezpieczeństwa WordPress.
4. Pomijanie fałszowania żądań krzyżowych (CSRF) przez przesyłanie pliku Flash. Zgłoszone przez Abdullaha Hussama .
5. Cross-site scripting (XSS) za pośrednictwem nazwy tematu. Zgłoszone przez Mehmeta Ince'a .
6. Wyślij pocztą e-mail sprawdza adres mail.example.com jeśli ustawienia domyślne nie zostaną zmienione. Zgłoszony przez Johna Blackbourna z zespołu bezpieczeństwa WordPress.
7. W trybie ułatwień dostępu do edycji widgetów wykryto fałszowanie żądań krzyżowych (CSRF). Zgłoszone przez Ronniego Skansinga .
8. Słabe bezpieczeństwo kryptograficzne dla wielostanowiskowego klucza aktywacyjnego. Zgłoszone przez Jacka .