WordPress hat ein Sicherheitsupdate für das gleichnamige Content Management System veröffentlicht. Die Version 4.7.2 stopft drei gefährliche Löcher in der Version 4.7.1 und früher. WordPress-Websites, die auf einer der unsicheren Versionen basieren, sind unter anderem anfällig für Cross-Site-Scripting und SQL Injection.
Zudem erlaubt die Funktion „WP-Query“, die für den Aufruf von Variablen und Funktionen im WordPress-Core benutzt wird, bei der Verarbeitung unsicherer Daten eine SQL Injection, also das Einschleusen von Datenbankbefehlen. Den Entwicklern zufolge ist der WordPress-Core jedoch nicht fehlerhaft. Der Patch soll demnach verhindern, dass „Plug-ins und Themen versehentlich“ WordPress angreifbar machen. Die Details zu dieser Schwachstelle stammen vom Sicherheitsforscher Mo Jangda.
Die Cross-Site-Scripting-Lücke wiederum steckt in der Funktion Posts List Table. Welche Auswirkungen die Schwachstelle haben kann, teilte WordPress nicht mit. Entdeckt wurde sie von Ian Dunn vom hauseigenen WordPress Security Team.
Das Update kann von der WordPress-Website oder über das Dashboard des CMS heruntergeladen werden. Sites, die für eine automatische Aktualisierung im Hintergrund konfiguriert wurden, sollen das Update auf die Version 4.7.2 bereits erhalten.
Die jetzt als unsicher eingestufte Version 4.7.1 hatten die Entwickler Anfang Januar freigegeben. Sie beseitigte insgesamt acht sicherheitsrelevante Bugs. Darunter war auch eine Anfälligkeit in PHP Mailer, die das Einschleusen und Ausführen von Schadcode ermöglichte. Die Entwickler stopften aber auch ein Datenleck und korrigierten mehrere Fehler, die Cross-Site-Scripting erlaubten.
Wie Sie Ihr persönliches Internet der Dinge vor versteckten Gefahren schützen
[mit Material von Charlie Osborne, ZDNet.com
Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.
Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…
Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…
Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…
Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…
Huawei stellt auf der Connect Europe 2024 in Paris mit Xinghe Intelligent Network eine erweiterte…