WordPress stopft drei schwerwiegende Sicherheitslöcher

WordPress hat ein Sicherheitsupdate für das gleichnamige Content Management System veröffentlicht. Die Version 4.7.2 stopft drei gefährliche Löcher in der Version 4.7.1 und früher. WordPress-Websites, die auf einer der unsicheren Versionen basieren, sind unter anderem anfällig für Cross-Site-Scripting und SQL Injection.

Der erste Fehler wurde von David Herrera von Alley Interactive entdeckt. Die für die Veröffentlichung von Beiträgen im Browser zuständige Funktion „Press This“ öffnet unter Umständen den Dialog für die Zuordnung von Klassifizierungsbegriffen, obwohl der Nutzer nicht über die zur Einblendung des Dialogs erforderlichen Berechtigungen verfügt.

Zudem erlaubt die Funktion „WP-Query“, die für den Aufruf von Variablen und Funktionen im WordPress-Core benutzt wird, bei der Verarbeitung unsicherer Daten eine SQL Injection, also das Einschleusen von Datenbankbefehlen. Den Entwicklern zufolge ist der WordPress-Core jedoch nicht fehlerhaft. Der Patch soll demnach verhindern, dass „Plug-ins und Themen versehentlich“ WordPress angreifbar machen. Die Details zu dieser Schwachstelle stammen vom Sicherheitsforscher Mo Jangda.

Die Cross-Site-Scripting-Lücke wiederum steckt in der Funktion Posts List Table. Welche Auswirkungen die Schwachstelle haben kann, teilte WordPress nicht mit. Entdeckt wurde sie von Ian Dunn vom hauseigenen WordPress Security Team.

Loading ...

Das Update kann von der WordPress-Website oder über das Dashboard des CMS heruntergeladen werden. Sites, die für eine automatische Aktualisierung im Hintergrund konfiguriert wurden, sollen das Update auf die Version 4.7.2 bereits erhalten.

Die jetzt als unsicher eingestufte Version 4.7.1 hatten die Entwickler Anfang Januar freigegeben. Sie beseitigte insgesamt acht sicherheitsrelevante Bugs. Darunter war auch eine Anfälligkeit in PHP Mailer, die das Einschleusen und Ausführen von Schadcode ermöglichte. Die Entwickler stopften aber auch ein Datenleck und korrigierten mehrere Fehler, die Cross-Site-Scripting erlaubten.

HIGHLIGHT

Mehr Sicherheit im smarten Zuhause

Wie Sie Ihr persönliches Internet der Dinge vor versteckten Gefahren schützen

[mit Material von Charlie Osborne, ZDNet.com

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Apple meldet Rekordumsatz im vierten Fiskalquartal

Die Einnahmen klettern auf fast 95 Milliarden Dollar. Allerdings belastet der Steuerstreit mit der EU…

2 Tagen ago

Microsoft steigert Umsatz und Gewinn im ersten Fiskalquartal

Das stärkste Wachstum verbucht die Cloud-Sparte. Microsoft verpasst bei der Umsatzprognose für das laufende Quartal…

2 Tagen ago

Bezahlkarten: Infineon verspricht weniger Plastikmüll

Ein Coil-on-Module-Package integriert Chip und Antenne, was den Kartenkörper fast vollständig recycelbar machen soll.

3 Tagen ago

Firefox 132 schließt elf Sicherheitslücken

Mindestens eine Anfälligkeit erlaubt das Einschleusen von Schadcode. Außerdem erweitern die Entwickler den Support für…

3 Tagen ago

Telekom nennt Termin für 2G-Ende

Zum 30. Juni 2028 soll das 2G-Netz komplett abgeschaltet werden und den Weg für schnellere…

3 Tagen ago

Alphabet übertrifft die Erwartungen im dritten Quartal

Gewinn und Umsatz legen deutlich zu. Zum Wachstum tragen auch die Sparten Cloud und Abonnements…

3 Tagen ago