WordPress 4.7.1 – oito problemas de segurança foram corrigidos

English version: WordPress 4.7.1 – eight security issues have been fixed

Hora de atualizar! De acordo com relatos, o WordPress 4.7 e versões anteriores apresentavam oito problemas de segurança, que agora foram corrigidos.

1. Execução remota de código (RCE) no PHPMailer – Não parece haver nenhum problema específico afetando o WordPress ou qualquer um dos principais plugins que investigamos, mas, por precaução, atualizamos o PHPMailer nesta versão. Este problema foi relatado ao PHPMailer por Dawid Golunski e Paul Buonopane .
2. A API REST expunha dados de todos os usuários que haviam criado uma publicação do tipo público. O WordPress 4.7.1 limita isso apenas aos tipos de publicação que especificaram que devem ser exibidos na API REST. Relatado por Krogsgard e Chris Jean .
3. Ataque de Cross-Site Scripting (XSS) através do nome ou cabeçalho de versão do plugin em update-core.php . Reportado por Dominik Schilling da Equipe de Segurança do WordPress.
4. Explosão de segurança contra falsificação de solicitação entre sites (CSRF) por meio do upload de um arquivo Flash. Reportado por Abdullah Hussam .
5. Ataque de Cross-Site Scripting (XSS) por meio de fallback de nome de tema. Reportado por Mehmet Ince .
6. A publicação via e-mail verifica mail.example.com se as configurações padrão não forem alteradas. Reportado por John Blackbourn, da Equipe de Segurança do WordPress.
7. Foi descoberta uma vulnerabilidade de falsificação de solicitação entre sites (CSRF) no modo de acessibilidade da edição de widgets. Reportado por Ronnie Skansing .
8. Segurança criptográfica fraca para chave de ativação em múltiplos locais. Reportado por Jack .