WordPress 4.7 se ha descargado ya más de 10 millones de veces desde su lanzamiento el 6 de diciembre de 2016, y estamos encantados de anunciar la disponibilidad inmediata de WordPress 4.7.1. Esta es una actualización de seguridad de todas las versiones anteriores y te animamos encarecidamente a actualizar tus sitios de inmediato.
Las versiones de WordPress 4.7 y anteriores están afectadas por ocho problemas de seguridad:
- Ejecución de código remoto en PHPMailer – No hay ningún problema específico que afecte a WordPress o a los principales plugins que hemos investigado pero, por precaución, hemos actualizado PHPMailer en esta versión Este problema lo informaron a PHPMailer Dawid Golunski y Paul Buonopane.
- La REST API exponía datos de usuario de todos los usuarios autores de una entrada o un tipo de contenido público. WordPress 4.7.1 limita esto solo a los tipos de contenido que se especifique que deban mostrarse en la REST API. Informaron Krogsgard y Chris Jean.
- Vulnerabilidad XSS a través del nombre del plugin o la cabecera de la versión en
update-core.php
. Informado por Dominik Schilling, del equipo de seguridad de WordPress.
- Vulnerabilidad CSRF al subir un archivo flash. Informado por Abdullah Hussam.
- Vulnerabilidad XSS mediante la retirada del nombre del tema. Informado por Mehmet Ince.
- La publicación por correo electrónico revisa
mail.example.com
si no han cambiado los ajustes por defecto. Informado por John Blackbourn, del equipo de seguridad de WordPress.
- Vulnerabilidad CSRF descubierta en e modo de accesibilidad de la edición de widgets. Informada por Ronnie Skansing.
- Seguridad criptográfica débil en la clave de activación de multisitio. Informado por Jack.
Gracias a todos los que han informado por practicar la revelación responsable.
Además de los anteriores problemas de seguridad, WordPress 4.7.1 soluciona 62 fallos desde la versión 4.7. Para más información revisa las notas de la versión o consulta la lista completa de cambios.
Descarga WordPress 4.7.1 o pásate por tu Escritorio → Actualizar y simplemente haz cic en “Actualizar ahora”. Los sitios compatibles con las actualizaciones automáticas en segundo plano ya se están actualizando solos a WordPress 4.7.1.
Gracias a todos los que han colaborado con la versión 4.7.1: Aaron D. Campbell, Aaron Jorbin, Adam Silverstein, Andrea Fercia, Andrew Ozz, bonger, Boone Gorges, Chandra Patel, David Herrera, David Shanske, Dion Hulse, Dominik Schilling (ocean90), DreamOn11, Edwin Cromley, Ella van Dorpe, Gary Pendergast, James Nylen, Jeff Bowen, Jeremy Felt, Jeremy Pry, Joe McGill, John Blackbourn, Keanan Koppenhaver, Konstantin Obenland, laurelfulford, Marin Atanasov, mattyrob, monikarao, Nate Reist, Nick Halsey, Nikhil Chavan, nullvariable, Payton Swick, Peter Wilson, Presskopp, Rachel Baker, Ryan McCue, Sanket Parmar, Sebastian Pisula, sfpt, shazahm1, Stanimir Stoyanov, Steven Word, szaqal21, timph, voldemortensen, vortfu y Weston Ruter.