WordPress 4.7.1 — исправлено восемь проблем безопасности

English version: WordPress 4.7.1 – eight security issues have been fixed

Время обновиться! Согласно отчетам, WordPress 4.7 и более ранние версии затронуты восемью проблемами безопасности, и теперь они исправлены

1. Удаленное выполнение кода (RCE) в PHPMailer – Никакой конкретной проблемы, похоже, не затрагивает WordPress или какой-либо из основных плагинов, которые мы исследовали, но из соображений предосторожности мы обновили PHPMailer в этом выпуске. Об этой проблеме сообщили PHPMailer Дэвид Голунски и Пол Буонопане .
2. REST API раскрывает пользовательские данные для всех пользователей, которые создали публикацию публичного типа. WordPress 4.7.1 ограничивает это только типами публикаций, которые указали, что они должны отображаться в REST API. Сообщили Krogsgard и Chris Jean .
3. Межсайтовый скриптинг (XSS) через заголовок имени плагина или версии на update-core.php . Сообщил Доминик Шиллинг из команды безопасности WordPress.
4. Обход подделки межсайтовых запросов (CSRF) путем загрузки Flash-файла. Сообщил Абдулла Хусам .
5. Межсайтовый скриптинг (XSS) через резервное название темы. Сообщил Мехмет Инче .
6. Post via email проверяет mail.example.com , не изменены ли настройки по умолчанию. Сообщил Джон Блэкборн из WordPress Security Team.
7. В режиме доступности редактирования виджетов обнаружена подделка межсайтового запроса (CSRF). Сообщил Ронни Скансинг .
8. Слабая криптографическая безопасность для многосайтового ключа активации. Сообщил Джек .