В релизе WordPress 4.7.1 были закрыты следующие уязвимости:
- Удалённое выполнение кода (RCE) в PHPMailer;
- Раскрытие данных пользователя в REST API;
- XSS через имя плагина или хидер версии в update-core.php;
- Обход CSRF через загрузку Flash файла;
- XSS через fallback имени темы;
- Пост через email проверяет mail.example.com, если не изменены дефолтные настройки;
- CSRF в режиме доступности во время редактирования виджета;
- Слабая криптографическая защита для ключа активации многосайтовости.
WordPress 4.7.1 также содержит исправления 62 ошибок.
Рекомендуем вам обновиться как можно быстрее до версии 4.7.1.
Вы можете скачать WordPress 4.7.1 или обновиться через Панель управления > Обновления. Веб-сайты, которые поддерживают автоматическое обновление, скорее всего уже были обновлены до версии 4.7.1.