Security Blog

WordPress 4.7.1 – oito problemas de segurança foram corrigidos


English version: WordPress 4.7.1 – eight security issues have been fixed


Hora de atualizar! De acordo com relatos WordPress 4.7 e anteriores são afetados por oito problemas de segurança e agora eles são corrigidos

  1. Execução remota de código (RCE) no PHPMailer – Nenhum problema específico parece afetar o WordPress ou qualquer um dos plug-ins principais que investigamos, mas, com muita cautela, atualizamos o PHPMailer nesta versão. Esse problema foi relatado ao PHPMailer por Dawid Golunski e Paul Buonopane .
  2. A API REST expôs dados do usuário para todos os usuários que criaram uma postagem de um tipo de postagem pública. O WordPress 4.7.1 limita isso apenas para postar tipos que especificaram que eles devem ser mostrados na API REST. Relatado por Krogsgard e Chris Jean .
  3. Cross-site scripting (XSS) através do nome do plugin ou cabeçalho da versão em update-core.php . Relatado por Dominik Schilling, da equipe de segurança do WordPress.
  4. Falha no pedido de falsificação de solicitação entre sites (CSRF) através do upload de um arquivo Flash. Relatado por Abdullah Hussam .
  5. Cross-site scripting (XSS) via fallback de nome de tema. Relatado por Mehmet Ince .
  6. Postar via e-mail verifica mail.example.com se as configurações padrão não forem alteradas. Relatado por John Blackbourn, da equipe de segurança do WordPress.
  7. Uma falsificação de solicitação entre sites (CSRF) foi descoberta no modo de acessibilidade da edição de widgets. Relatado por Ronnie Skansing .
  8. Segurança criptográfica fraca para chave de ativação multisite. Relatado por Jack .

I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.

View Comments
There are currently no comments.