Security Blog

WordPress 4.7.1 – восемь вопросы безопасности были зафиксированы


English version: WordPress 4.7.1 – eight security issues have been fixed


Время обновлять! Согласно отчетам WordPress 4.7 и более ранних версий, на них влияют восемь проблем безопасности, и теперь они устранены

  1. Удаленное выполнение кода (RCE) в PHPMailer. Похоже, что ни одна конкретная проблема не затрагивает WordPress или какие-либо из основных плагинов, которые мы исследовали, но из-за предосторожности мы обновили PHPMailer в этом выпуске. Об этой проблеме сообщили PHPMailer Давид Голунски и Пол Буонопейн .
  2. API REST предоставил пользовательские данные для всех пользователей, которые создали публикацию открытого типа. WordPress 4.7.1 ограничивает это только типами записей, которые указали, что они должны отображаться в REST API. Об этом сообщили Крогсгард и Крис Жан .
  3. Межсайтовый скриптинг (XSS) через имя плагина или заголовок версии на update-core.php . Об этом сообщает Доминик Шиллинг из команды безопасности WordPress.
  4. Обход подделки межсайтовых запросов (CSRF) путем загрузки файла Flash. Об этом сообщает Абдулла Хуссам .
  5. Межсайтовый скриптинг (XSS) через резервное имя темы. Об этом сообщает Мехмет Инс .
  6. Отправка по электронной почте проверяет mail.example.com если настройки по умолчанию не изменены. Об этом сообщает Джон Блэкборн из команды безопасности WordPress.
  7. Подделка межсайтовых запросов (CSRF) была обнаружена в режиме доступности редактирования виджетов. Об этом сообщает Ронни Скансинг .
  8. Слабая криптографическая защита для многосайтового ключа активации. Об этом сообщает Джек .

I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.

View Comments
There are currently no comments.