WordPress 4.7.1 – восемь вопросы безопасности были зафиксированы
English version: WordPress 4.7.1 – eight security issues have been fixed
Время обновлять! Согласно отчетам WordPress 4.7 и более ранних версий, на них влияют восемь проблем безопасности, и теперь они устранены
- Удаленное выполнение кода (RCE) в PHPMailer. Похоже, что ни одна конкретная проблема не затрагивает WordPress или какие-либо из основных плагинов, которые мы исследовали, но из-за предосторожности мы обновили PHPMailer в этом выпуске. Об этой проблеме сообщили PHPMailer Давид Голунски и Пол Буонопейн .
- API REST предоставил пользовательские данные для всех пользователей, которые создали публикацию открытого типа. WordPress 4.7.1 ограничивает это только типами записей, которые указали, что они должны отображаться в REST API. Об этом сообщили Крогсгард и Крис Жан .
- Межсайтовый скриптинг (XSS) через имя плагина или заголовок версии на
update-core.php
. Об этом сообщает Доминик Шиллинг из команды безопасности WordPress. - Обход подделки межсайтовых запросов (CSRF) путем загрузки файла Flash. Об этом сообщает Абдулла Хуссам .
- Межсайтовый скриптинг (XSS) через резервное имя темы. Об этом сообщает Мехмет Инс .
- Отправка по электронной почте проверяет
mail.example.com
если настройки по умолчанию не изменены. Об этом сообщает Джон Блэкборн из команды безопасности WordPress. - Подделка межсайтовых запросов (CSRF) была обнаружена в режиме доступности редактирования виджетов. Об этом сообщает Ронни Скансинг .
- Слабая криптографическая защита для многосайтового ключа активации. Об этом сообщает Джек .
Security Blog
Next Post
Как ограничить количество одновременных сеансов пользователей в WordPress
Releases