WordPress 4.7.1 – oito problemas de segurança foram corrigidos

English version: WordPress 4.7.1 – eight security issues have been fixed

Hora de atualizar! De acordo com relatórios, o WordPress 4.7 e versões anteriores são afetados por oito problemas de segurança e agora foram corrigidos

1. Execução remota de código (RCE) no PHPMailer – Nenhum problema específico parece afetar o WordPress ou qualquer um dos principais plugins que investigamos, mas, por precaução, atualizamos o PHPMailer nesta versão. Este problema foi relatado ao PHPMailer por Dawid Golunski e Paul Buonopane .
2. A API REST expôs os dados do usuário para todos os usuários que criaram uma postagem de um tipo de postagem pública. O WordPress 4.7.1 limita isso apenas a tipos de postagem que especificaram que devem ser mostrados na API REST. Relatado por Krogsgard e Chris Jean .
3. Cross-site scripting (XSS) através do nome do plugin ou cabeçalho da versão em update-core.php . Relatado por Dominik Schilling da equipe de segurança do WordPress.
4. Ignorar a falsificação de solicitação entre sites (CSRF) por meio do upload de um arquivo Flash. Relatado por Abdullah Hussam .
5. Cross-site scripting (XSS) via fallback de nome de tema. Reportado por Mehmet Ince .
6. Postar por e-mail verifica mail.example.com se as configurações padrão não forem alteradas. Relatado por John Blackbourn da equipe de segurança do WordPress.
7. Uma falsificação de solicitação entre sites (CSRF) foi descoberta no modo de acessibilidade da edição do widget. Relatado por Ronnie Skansing .
8. Segurança criptográfica fraca para chave de ativação multisite. Reportado por Jaque .