WordPress 4.7.1 — исправлено восемь проблем безопасности.

English version: WordPress 4.7.1 – eight security issues have been fixed

Пора обновиться! Согласно сообщениям, WordPress 4.7 и более ранние версии были затронуты восемью проблемами безопасности, и теперь они исправлены.

1. Удаленное выполнение кода (RCE) в PHPMailer — В настоящее время, по всей видимости, никаких конкретных проблем, затрагивающих WordPress или какие-либо из основных плагинов, которые мы исследовали, не выявлено, но, из соображений предосторожности, мы обновили PHPMailer в этом релизе. Об этой проблеме сообщили в PHPMailer Давид Голунски и Пол Буонопане .
2. REST API предоставлял доступ к пользовательским данным для всех пользователей, которые создали записи общедоступного типа. В WordPress 4.7.1 это ограничено только теми типами записей, для которых указано, что они должны отображаться в REST API. Об этом сообщили Крогсгард и Крис Жан .
3. Межсайтовая скриптовая атака (XSS) через заголовок с именем плагина или версией в update-core.php . Сообщил Доминик Шиллинг из команды безопасности WordPress.
4. Обход уязвимости межсайтовой подделки запросов (CSRF) путем загрузки файла Flash. Сообщение от Абдуллы Хуссама .
5. Межсайтовая скриптовая атака (XSS) через резервное имя темы. Сообщение от Мехмета Инче .
6. При отправке сообщений по электронной почте проверяется mail.example.com если настройки по умолчанию не изменены. Об этом сообщил Джон Блэкборн из команды безопасности WordPress.
7. В режиме специальных возможностей при редактировании виджетов обнаружена атака типа «подделка межсайтовых запросов» (CSRF). Об этом сообщил Ронни Скансинг .
8. Слабая криптографическая защита ключа активации для нескольких сайтов. Об этом сообщил Джек .