WordPress 4.7.1 — исправлено восемь проблем безопасности

English version: WordPress 4.7.1 – eight security issues have been fixed

Время обновляться! По сообщениям, WordPress 4.7 и более ранние версии подвержены восьми проблемам безопасности, и теперь они исправлены.

1. Удаленное выполнение кода (RCE) в PHPMailer. Никакая конкретная проблема не затрагивает WordPress или любой из основных плагинов, которые мы исследовали, но из соображений предосторожности мы обновили PHPMailer в этом выпуске. Об этой проблеме сообщили PHPMailer Давид Голунски и Пол Буонопане .
2. REST API предоставил пользовательские данные для всех пользователей, написавших публикации общедоступного типа. WordPress 4.7.1 ограничивает это только теми типами сообщений, для которых указано, что они должны отображаться в REST API. Об этом сообщили Крогсгард и Крис Джин .
3. Межсайтовый скриптинг (XSS) через имя плагина или заголовок версии в update-core.php . Об этом сообщил Доминик Шиллинг из команды безопасности WordPress.
4. Обход подделки межсайтовых запросов (CSRF) посредством загрузки Flash-файла. Об этом сообщил Абдулла Хусам .
5. Межсайтовый скриптинг (XSS) через резервное имя темы. Об этом сообщил Мехмет Индже .
6. Публикация по электронной почте проверяет mail.example.com , если настройки по умолчанию не изменены. Об этом сообщил Джон Блэкборн из команды безопасности WordPress.
7. В режиме специальных возможностей редактирования виджета была обнаружена подделка межсайтового запроса (CSRF). Об этом сообщил Ронни Скансинг .
8. Слабая криптографическая безопасность для ключа многосайтовой активации. Об этом сообщил Джек .