Desde su lanzamiento hace más de un mes, precisamente el 6 de Diciembre de 2016, WordPress 4.7 ha sido descargado más de 40 millones de veces desde el repositorio oficial. Hoy (fecha de publicación) se ha lanzado una actualización de seguridad y mantenimiento WordPress 4.7.1 de todas las versiones anteriores, que te recomendamos actualizar de forma inmediata, para resolver los fallos de seguridad, que son :
Posibilidad de ejecución remota de código (RCE) en la librería PHPMailer, que hasta ahora no parece afectar a WordPress en un caso específico, o en la mayorías de los plugins revisados hasta ahora, pero por precaución, el equipo de desarrollo ha actualizado la librería PHPMailer en este lanzamiento.
La REST API exponía los datos del usuario para todos los usuarios que han escrito un post de un post público. En la versiónactualizada WordPress 4.7.1 se ha limitado sólo a los tipos de posts que lo especifica.
Vulnerabilidad XSS o Cross-site scripting
- atavés del header del nombre o la versión del plugin en update-core.php.
- através de retroceso nombre del theme.
Vulnerabilidad Cross-site request forgery (CSRF)
- Mediante subir un archivo Flash
- En el modo de accesibilidad en el modo de edición de plugin.
Débil criptografía de seguridad para clave de activación de multisitios.
Publicar vía correo electrónico, si los valores predeterminados no se han cambiado de mail.example.com.
Además de los fallos de seguridad solucionados mencionados arriba, WordPress 4.7.1 corrige 62 errores de la versión anterior 4.7. Para más detalles sobre los errores, visitar la notas de la actualización (Inglés).
Fuente : wordpress.org
