WordPress 4.7.1 – oito problemas de segurança foram corrigidos

English version: WordPress 4.7.1 – eight security issues have been fixed

Hora de atualizar! Segundo relatos, o WordPress 4.7 e versões anteriores são afetados por oito problemas de segurança, que agora foram corrigidos.

1. Execução remota de código (RCE) no PHPMailer – Nenhum problema específico parece afetar o WordPress ou qualquer um dos principais plugins que investigamos, mas, por precaução, atualizamos o PHPMailer nesta versão. Este problema foi relatado ao PHPMailer por Dawid Golunski e Paul Buonopane .
2. A API REST expôs dados de todos os usuários que criaram uma publicação do tipo público. O WordPress 4.7.1 limita isso apenas a tipos de publicação que especificaram que devem ser exibidos na API REST. Relatado por Krogsgard e Chris Jean .
3. Cross-site scripting (XSS) por meio do nome do plugin ou do cabeçalho da versão em update-core.php . Relatado por Dominik Schilling, da Equipe de Segurança do WordPress.
4. Contorno de falsificação de solicitação entre sites (CSRF) por meio do upload de um arquivo Flash. Relatado por Abdullah Hussam .
5. Cross-site scripting (XSS) via fallback de nome de tema. Relatado por Mehmet Ince .
6. A publicação por e-mail verifica mail.example.com para ver se as configurações padrão não foram alteradas. Relatado por John Blackbourn, da Equipe de Segurança do WordPress.
7. Uma falsificação de solicitação entre sites (CSRF) foi descoberta no modo de acessibilidade da edição de widgets. Relatado por Ronnie Skansing .
8. Segurança criptográfica fraca para chave de ativação multisite. Relatado por Jack .