WordPress 4.7.1 – oito problemas de segurança foram corrigidos

English version: WordPress 4.7.1 – eight security issues have been fixed

É hora de atualizar! De acordo com relatórios, o WordPress 4.7 e anteriores são afetados por oito problemas de segurança e agora foram corrigidos

1. Execução remota de código (RCE) no PHPMailer – Nenhum problema específico parece afetar o WordPress ou qualquer um dos principais plug-ins que investigamos, mas, por precaução, atualizamos o PHPMailer nesta versão. Este problema foi relatado ao PHPMailer por Dawid Golunski e Paul Buonopane .
2. A API REST expôs dados de usuário para todos os usuários que criaram uma postagem de tipo público. O WordPress 4.7.1 limita isso apenas aos tipos de postagem que especificaram que deveriam ser mostrados na API REST. Relatado por Krogsgard e Chris Jean .
3. Cross-site scripting (XSS) através do nome do plugin ou cabeçalho da versão em update-core.php . Relatado por Dominik Schilling da equipe de segurança do WordPress.
4. Ignorar a falsificação de solicitação entre sites (CSRF) por meio do upload de um arquivo Flash. Relatado por Abdullah Hussam .
5. Scripting entre sites (XSS) por meio de substituto de nome de tema. Relatado por Mehmet Ince .
6. Postar por e-mail verifica mail.example.com se as configurações padrão não forem alteradas. Relatado por John Blackbourn da equipe de segurança do WordPress.
7. Uma falsificação de solicitação entre sites (CSRF) foi descoberta no modo de acessibilidade de edição de widget. Relatado por Ronnie Skansing .
8. Segurança criptográfica fraca para chave de ativação multisite. Relatado por Jack .