WordPress 4.7.1 — исправлено восемь проблем безопасности
English version: WordPress 4.7.1 – eight security issues have been fixed
Время обновляться! По сообщениям, WordPress 4.7 и более ранние версии подвержены восьми проблемам безопасности, и теперь они исправлены.
- Удаленное выполнение кода (RCE) в PHPMailer. Никакая конкретная проблема не затрагивает WordPress или любой из основных плагинов, которые мы исследовали, но из соображений предосторожности мы обновили PHPMailer в этом выпуске. Об этой проблеме сообщили PHPMailer Давид Голунски и Пол Буонопане .
- REST API предоставил пользовательские данные для всех пользователей, написавших публикации общедоступного типа. WordPress 4.7.1 ограничивает это только теми типами сообщений, для которых указано, что они должны отображаться в REST API. Об этом сообщили Крогсгард и Крис Джин .
- Межсайтовый скриптинг (XSS) через имя плагина или заголовок версии в
update-core.php
. Об этом сообщил Доминик Шиллинг из команды безопасности WordPress. - Обход подделки межсайтовых запросов (CSRF) посредством загрузки Flash-файла. Об этом сообщил Абдулла Хусам .
- Межсайтовый скриптинг (XSS) через резервное имя темы. Об этом сообщил Мехмет Индже .
- Публикация по электронной почте проверяет
mail.example.com
, если настройки по умолчанию не изменены. Об этом сообщил Джон Блэкборн из команды безопасности WordPress. - В режиме специальных возможностей редактирования виджета была обнаружена подделка межсайтового запроса (CSRF). Об этом сообщил Ронни Скансинг .
- Слабая криптографическая безопасность для ключа многосайтовой активации. Об этом сообщил Джек .
Releases
Next Post
WP Cerber Security 8.6.3
Help