WordPress 4.7.1 — исправлено восемь проблем с безопасностью

English version: WordPress 4.7.1 – eight security issues have been fixed

Время обновить! Согласно отчетам, WordPress 4.7 и более ранние версии подвержены восьми проблемам безопасности, и теперь они исправлены.

1. Удаленное выполнение кода (RCE) в PHPMailer. Не похоже, чтобы какая-либо конкретная проблема влияла на WordPress или какой-либо из основных плагинов, которые мы исследовали, но из соображений предосторожности мы обновили PHPMailer в этом выпуске. Об этой проблеме сообщили PHPMailer Дэвид Голунски и Пол Буонопане .
2. REST API предоставил пользовательские данные для всех пользователей, которые создали публикацию общедоступного типа. WordPress 4.7.1 ограничивает это только теми типами записей, для которых указано, что они должны отображаться в REST API. Об этом сообщили Крогсгард и Крис Джин .
3. Межсайтовый скриптинг (XSS) через имя плагина или заголовок версии на update-core.php . Об этом сообщает Доминик Шиллинг из команды безопасности WordPress.
4. Обход подделки межсайтовых запросов (CSRF) путем загрузки Flash-файла. Об этом сообщил Абдулла Хусам .
5. Межсайтовый скриптинг (XSS) через откат имени темы. Об этом сообщает Мехмет Инс .
6. Публикация по электронной почте проверяет mail.example.com , если настройки по умолчанию не изменены. Об этом сообщил Джон Блэкборн из команды безопасности WordPress.
7. В режиме специальных возможностей редактирования виджета обнаружена подделка межсайтовых запросов (CSRF). Об этом сообщает Ронни Скэнсинг .
8. Слабая криптографическая защита для многосайтового ключа активации. Сообщил Джек .