Categories: Sicherheit

Sicherheitsupdate für WordPress verfügbar

WordPress hat mit Version 4.1.2 ein kritisches Sicherheitupdate für sein Content-Management-System veröffentlicht. Es empfiehlt dringend, alle früheren Versionen sofort auf den aktuellen Stand zu bringen – durch einen Download oder aus dem Dashboard heraus. Bei Sites, die automatische Updates im Hintergrund unterstützen, laufe die Aktualisierung auf WordPress 4.1.2 bereits an.

Die Versionen 4.1.1 und frühere Versionen sind von einer kritischen Cross-Site-Scripting-Lücke betroffen, die es anonymen Nutzern erlauben könnte, eine Website zu kompromittieren. Die von Cedric Van Bockhaven berichtete Schwachstelle wurde durch das WordPress-Sicherheitsteam behoben.

Das Update beseitigt zudem drei weitere Anfälligkeiten. So konnten in WordPress 4.1 und höher Dateien mit ungültigen oder unsicheren Namen hochgeladen werden. In WordPress 3.9 und höher ließ sich eine sehr eingeschränkte Cross-Site-Scripting-Lücke im Rahmen eines Social-Engineering-Angriffs ausnutzen. Einige Plug-ins waren anfällig für SQL-Injection.

Darüber hinaus wurden vier Veränderungen vorgenommen, um Installationen zu härten. WordPress bedankt sich ausdrücklich für die verantwortliche Enthüllung der Schwachstellen an sein Sicherheitsteam. Es weist außerdem Tester von WordPress 4.2 darauf hin, dass der dritte Release Candidate erhältlich ist und auch hier die genannten Sicherheitslücken behoben wurden.

Abschließende Erwähnung findet eine in zahlreichen WordPress-Plug-ins entdeckte Anfälligkeit für Cross-Site-Scripting (XSS), für die in dieser Woche in einer konzertierten Aktion Sicherheitsupdates bereitgestellt wurden. Nicht weniger als 17 betroffene Plug-ins sind bislang bekannt, aber mit weiteren Entdeckungen ist noch immer zu rechnen. Die Anfälligkeit beruht auf dem falschen Einsatz der Funktionen add_query_arg() and remove_query_arg(), die zuvor in der offiziellen WordPress-Dokumentation unklar beschrieben wurden.

„Halten Sie alles auf dem aktuellen Stand, um sicher zu sein“, wendet sich Gary Pendergast von Automattic, das das Hosting-Angebot WordPress.com betreibt und wesentlich zur Entwicklung des quelloffenen Content-Management-Systems WordPress beiträgt, an die Anwender. Plug-in-Entwickler verweist er auf eine Informationsseite, mit deren Hilfe sie klären können, ob eventuell auch ihr Plug-in von der XSS-Lücke betroffen ist.

Tipp: Wie gut kennen Sie die Geschichte der Viren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

ZDNet.de Redaktion

Recent Posts

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

5 Stunden ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

9 Stunden ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

10 Stunden ago

Lags beim Online-Gaming? DSL-Vergleich und andere Tipps schaffen Abhilfe

Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…

11 Stunden ago

GenKI-Fortbildung immer noch Mangelware

Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…

11 Stunden ago

Netzwerk-Portfolio für das KI-Zeitalter

Huawei stellt auf der Connect Europe 2024 in Paris mit Xinghe Intelligent Network eine erweiterte…

13 Stunden ago