Fedora 25：wordpress（2017-e02ec160d8）

high Nessus プラグイン ID 96681

Language:

概要

リモートのFedoraホストにセキュリティ更新プログラムがありません。

説明

**WordPress 4.7.1** セキュリティおよびメンテナンスリリース

これは前のバージョンすべてのセキュリティリリースであり、弊社はユーザーが自分のサイトをすぐに更新することを強く推奨します。

WordPressのバージョン4.7以前は、8つのセキュリティ問題の影響を受けます：

- PHPMailerのリモートコード実行（RCE）– WordPressまたは弊社が調査した主要なプラグインのいずれにも、影響を与える特定の問題はありませんが、十分な注意を払って、このリリースでPHPMailerを更新しました。この問題は、Dawid Golunski氏およびPaul Buonopane氏によりPHPMailerに報告されました。

- REST APIは、公開投稿タイプの投稿を作成していたすべてのユーザーのユーザーデータを漏洩していました。WordPress 4.7.1は、これをREST API内で表示されるべきであると指定した投稿タイプのみに制限します。Krogsgard氏とChris Jean氏による報告。

- update-core.phpのプラグイン名またはバージョンヘッダーによるクロスサイトスクリプティング（XSS）WordPressセキュリティチームのDominik Schilling氏による報告。

- Flashファイルのアップロードによるクロスサイトリクエスト偽造（CSRF）のバイパス。Abdullah Hussam氏による報告。

- テーマ名のフォールバックによるクロスサイトスクリプティング（XSS）。
Mehmet Ince氏による報告。

- デフォルトの設定が変更されていない場合、電子メールによる投稿でmail.example.comがチェックされます。WordPressセキュリティチームのJohn Blackbourn氏による報告。

- ウィジェット編集のアクセシビリティモードに、クロスサイトリクエスト偽造（CSRF）が発見されました。Ronnie Skansing氏による報告。

- マルチサイトアクティベーションキーの暗号セキュリティが脆弱です。Jack氏による報告。

責任のある開示を行ってくれた報告者に感謝の意を表します。

上述のセキュリティ問題に加えて、WordPress 4.7.1は4.7からの62件のバグを修正します。詳細情報については、[リリースノート]（https://codex.wordpress.org/Version_4.7.1）を参照するか、[変更のリスト]（https://core.trac.wordpress.org/query?milestone=4.7.1）で確認してください。

注意：Tenable Network Securityは、前述の記述ブロックをFedora更新システムのWebサイトから直接抽出しています。
Tenableでは、新たな問題を持ち込まずに、できる限り自動的に整理して書式設定するようにしています。