WordPress 4.7.1 – acht Sicherheitsprobleme wurden behoben

English version: WordPress 4.7.1 – eight security issues have been fixed

Zeit zum Aktualisieren! Berichten zufolge sind WordPress 4.7 und früher von acht Sicherheitsproblemen betroffen und jetzt sind sie behoben

1. Remote Code Execution (RCE) in PHPMailer – Kein spezifisches Problem scheint WordPress oder eines der von uns untersuchten wichtigen Plugins zu betreffen , aber aus Vorsicht haben wir PHPMailer in dieser Version aktualisiert. Dieses Problem wurde PHPMailer von Dawid Golunski und Paul Buonopane gemeldet .
2. Die REST-API stellte Benutzerdaten für alle Benutzer bereit, die einen Beitrag eines öffentlichen Beitragstyps verfasst hatten. WordPress 4.7.1 beschränkt dies auf nur Beitragstypen, die angegeben haben, dass sie innerhalb der REST-API angezeigt werden sollen. Berichtet von Krogsgard und Chris Jean .
3. Cross-Site-Scripting (XSS) über den Plugin-Namen oder Versions-Header auf update-core.php . Gemeldet von Dominik Schilling vom WordPress Security Team.
4. Umgehung von Cross-Site Request Forgery (CSRF) durch Hochladen einer Flash-Datei. Berichtet von Abdullah Hussam .
5. Cross-Site-Scripting (XSS) über Designnamen-Fallback. Berichtet von Mehmet Ince .
6. Per E-Mail posten überprüft mail.example.com , wenn die Standardeinstellungen nicht geändert wurden. Gemeldet von John Blackbourn vom WordPress-Sicherheitsteam.
7. Im Zugänglichkeitsmodus der Widget-Bearbeitung wurde eine Cross-Site Request Forgery (CSRF) entdeckt. Berichtet von Ronnie Skansing .
8. Schwache kryptografische Sicherheit für Multisite-Aktivierungsschlüssel. Berichtet von Jack .