WordPress 4.7.1 — naprawiono osiem problemów z bezpieczeństwem

English version: WordPress 4.7.1 – eight security issues have been fixed

Czas na aktualizację! Według raportów WordPress 4.7 i wcześniejsze mają osiem problemów z bezpieczeństwem, które zostały naprawione

1. Zdalne wykonanie kodu (RCE) w PHPMailer – Wydaje się, że żaden konkretny problem nie wpływa na WordPressa ani na żadną z głównych wtyczek, które badaliśmy, ale ze względu na dużą ostrożność zaktualizowaliśmy PHPMailer w tej wersji. Ten problem został zgłoszony do PHPMailer przez Dawida Golunskiego i Paula Buonopane .
2. Interfejs API REST ujawnił dane użytkowników wszystkich użytkowników, którzy opublikowali post typu post publiczny. WordPress 4.7.1 ogranicza to tylko do typów postów, które określiły, że powinny być wyświetlane w interfejsie API REST. Zgłoszone przez Krogsgarda i Chrisa Jeana .
3. Cross-site scripting (XSS) poprzez nazwę wtyczki lub nagłówek wersji na update-core.php . Zgłoszone przez Dominika Schillinga z zespołu bezpieczeństwa WordPress.
4. Obejście fałszerstwa żądań między witrynami (CSRF) poprzez przesłanie pliku Flash. Zgłoszone przez Abdullaha Hussama .
5. Cross-site scripting (XSS) za pomocą zastępczej nazwy motywu. Zgłoszone przez Mehmeta Ince'a .
6. Wysyłanie pocztą e-mail sprawdza adres mail.example.com , jeśli ustawienia domyślne nie zostały zmienione. Zgłoszone przez Johna Blackbourna z zespołu bezpieczeństwa WordPress.
7. W trybie ułatwień dostępu edycji widżetu wykryto fałszerstwo żądań między witrynami (CSRF). Zgłoszone przez Ronniego Skansinga .
8. Słabe zabezpieczenia kryptograficzne dla klucza aktywacyjnego dla wielu witryn. Zgłoszone przez Jacka .