WordPress 4.7.1 – восемь вопросы безопасности были зафиксированы

English version: WordPress 4.7.1 – eight security issues have been fixed

Время обновлять! Согласно отчетам WordPress 4.7 и более ранних версий, на них влияют восемь проблем безопасности, и теперь они устранены

1. Удаленное выполнение кода (RCE) в PHPMailer. Похоже, что ни одна конкретная проблема не затрагивает WordPress или какие-либо из основных плагинов, которые мы исследовали, но из-за предосторожности мы обновили PHPMailer в этом выпуске. Об этой проблеме сообщили PHPMailer Давид Голунски и Пол Буонопейн .
2. API REST предоставил пользовательские данные для всех пользователей, которые создали публикацию открытого типа. WordPress 4.7.1 ограничивает это только типами записей, которые указали, что они должны отображаться в REST API. Об этом сообщили Крогсгард и Крис Жан .
3. Межсайтовый скриптинг (XSS) через имя плагина или заголовок версии на update-core.php . Об этом сообщает Доминик Шиллинг из команды безопасности WordPress.
4. Обход подделки межсайтовых запросов (CSRF) путем загрузки файла Flash. Об этом сообщает Абдулла Хуссам .
5. Межсайтовый скриптинг (XSS) через резервное имя темы. Об этом сообщает Мехмет Инс .
6. Отправка по электронной почте проверяет mail.example.com если настройки по умолчанию не изменены. Об этом сообщает Джон Блэкборн из команды безопасности WordPress.
7. Подделка межсайтовых запросов (CSRF) была обнаружена в режиме доступности редактирования виджетов. Об этом сообщает Ронни Скансинг .
8. Слабая криптографическая защита для многосайтового ключа активации. Об этом сообщает Джек .