WordPress 4.7.1 – naprawiono osiem problemów bezpieczeństwa

English version: WordPress 4.7.1 – eight security issues have been fixed

Czas na aktualizację! Według doniesień WordPress 4.7 i starsze wersje mają osiem luk bezpieczeństwa, które zostały już naprawione.

1. Zdalne wykonywanie kodu (RCE) w PHPMailer – żaden konkretny problem nie wydaje się dotyczyć WordPressa ani żadnej z głównych badanych przez nas wtyczek, ale ze względu na szczególną ostrożność zaktualizowaliśmy PHPMailera w tej wersji. Problem ten został zgłoszony do PHPMailera przez Dawida Golunskiego i Paula Buonopane .
2. Interfejs API REST udostępniał dane wszystkich użytkowników, którzy utworzyli wpis publiczny. W WordPressie 4.7.1 ograniczenie to dotyczyło tylko tych typów wpisów, dla których określono, że powinny być wyświetlane w interfejsie API REST. Zgłosili to Krogsgard i Chris Jean .
3. Atak typu cross-site scripting (XSS) poprzez nazwę wtyczki lub nagłówek wersji w update-core.php . Zgłoszone przez Dominika Schillinga z zespołu ds. bezpieczeństwa WordPressa.
4. Ominięcie fałszowania żądań między witrynami (CSRF) poprzez przesłanie pliku Flash. Zgłoszone przez Abdullaha Hussama .
5. Atak typu cross-site scripting (XSS) poprzez zmianę nazwy motywu. Zgłoszone przez Mehmeta Ince'a .
6. Wysyłanie wiadomości e-mail sprawdza, czy domyślne ustawienia w mail.example.com nie zostały zmienione. Zgłoszone przez Johna Blackbourna z zespołu ds. bezpieczeństwa WordPressa.
7. W trybie ułatwień dostępu edycji widżetu wykryto fałszerstwo żądania między witrynami (CSRF). Zgłoszone przez Ronniego Skansinga .
8. Słabe zabezpieczenia kryptograficzne klucza aktywacyjnego dla wielu witryn. Zgłoszone przez Jacka .