WordPress 4.7.1 – huit problèmes de sécurité ont été corrigés

English version: WordPress 4.7.1 – eight security issues have been fixed

Il est temps de mettre à jour ! Selon les rapports, WordPress 4.7 et les versions antérieures sont affectées par huit problèmes de sécurité et maintenant ils sont corrigés

1. Exécution de code à distance (RCE) dans PHPMailer – Aucun problème spécifique ne semble affecter WordPress ou l'un des principaux plugins que nous avons étudiés mais, par prudence, nous avons mis à jour PHPMailer dans cette version. Ce problème a été signalé à PHPMailer par Dawid Golunski et Paul Buonopane .
2. L'API REST a exposé les données utilisateur de tous les utilisateurs qui avaient rédigé une publication de type public. WordPress 4.7.1 limite cela aux seuls types de publication qui ont spécifié qu'ils doivent être affichés dans l'API REST. Rapporté par Krogsgard et Chris Jean .
3. Cross-site scripting (XSS) via le nom du plugin ou l'en-tête de version sur update-core.php . Rapporté par Dominik Schilling de l'équipe de sécurité WordPress.
4. Contournement de la falsification de requête intersite (CSRF) via le téléchargement d'un fichier Flash. Rapporté par Abdullah Hussam .
5. Script intersite (XSS) via le remplacement du nom de thème. Rapporté par Mehmet Ince .
6. La publication par e-mail vérifie mail.example.com si les paramètres par défaut ne sont pas modifiés. Rapporté par John Blackbourn de l'équipe de sécurité WordPress.
7. Une falsification de requête intersite (CSRF) a été découverte dans le mode d'accessibilité de l'édition du widget. Rapporté par Ronnie Skansing .
8. Faible sécurité cryptographique pour la clé d'activation multisite. Rapporté par Jack .