È stata rilasciata la versione 4.7.1 di WordPress.

Questa nuova versione oltre a risolvere alcuni problemi di funzionamento ed aggiungere alcune funzionalità risolve le seguenti gravi vulnerabilità:

• Remote code execution (RCE) in PHPMailer.
• The REST API exposed user data for all users who had authored a post of a public post type. WordPress 4.7.1 limits this to only post types which have specified that they should be shown within the REST API.
• Cross-site scripting (XSS) via the plugin name or version header on update-core.php.
• Cross-site request forgery (CSRF) bypass via uploading a Flash file.
• Cross-site scripting (XSS) via theme name fallback.
• Post via email checks mail.example.com if default settings aren’t changed.
• A cross-site request forgery (CSRF) was discovered in the accessibility mode of widget editing.
• Weak cryptographic security for multisite activation key.

Tutti gli utilizzatori di CMS dovrebbero tenere sempre in grande considerazione l’aggiornamento costante del proprio ambiente di erogazione dei contenuti. Non aggiornare un CMS molto diffuso come WordPress o Joomla espone il sito web a gravissimi rischi di sicurezza.