WordPress 4.7.1 est disponible depuis le 12 janvier 2017 et représente une version mineure de type mise à jour de sécurité qui corrige tout de même 8 vulnérabilités et 62 bugs.
Si vous avez désactivé les mises à jours automatiques des versions dites mineures de WordPress, pensez à déployer au plus vite cette mise à jour de sécurité !
En effet, les versions de WordPress 4.7 et antérieures sont affectées par 8 failles de sécurité :
- Remote code execution (RCE) dans PHPMailer
- REST API expose les données utilisateurs à tous ceux ayant les droits de publication d’un article public. WordPress 4.7.1 met en place des limitations spécifiques sur l’API REST.
- Cross-site scripting (XSS) via via le nom d’un plugin dans update-core.php
- Cross-site request forgery (CSRF) bypass via l’upload de fichier Flash
- Cross-site scripting (XSS) via le fallback du nom du thème
- Publication via le mail par défaut mail.example.com si les paramètres par défaut n’ont pas été modifiés
- Cross-site request forgery (CSRF) au sein de l’édition live des widgets
- Faiblese cryptographique au sein de l’implémentation de la clé d’activation en mode multisite.
Pour plus d’informations sur WordPress 4.7.1, il est possible de voir les notes de version.
Source : WordPress
Les commentaires sont fermés.