WordPress ist ein beliebtes Content Management System (CMS), wird ebenfalls noch oft Ziel von Angriffen. Aus diesem Grund raten die Hersteller dringend dazu, auf die neueste Version, WordPress 4․6․1, zu aktualisieren. Denn diese Version schließt zwei Sicherheitslücken. Nutzer die das Auto-Update aktiviert haben, haben das Update bereits erhalten. Alle anderen sollten es schnellstmöglich manuell einspielen um mögliche Angriffsvektoren zu minimieren.
6․1 stopft, warnt der Hersteller in seinem Blog. Das Update sollte deshalb jeder Webseiten-Betreiber einspielen der WordPress 4․6 oder älter nutzt und das Auto-Update deaktiviert hat. Auch Nutzer von gehostetem WordPress oder mit aktiviertem Auto-Update sollten zur Sicherheit kontrollieren, ob 4․6․1 installiert ist. Das Update behebt zudem 15 weitere Fehler.
Die erste Lücke erlaubt Site-Benutzern das Ausführen von bösartigem JavaScript, indem sie ein Bild mit manipuliertem Dateinamen hochladen; diese XSS-Lücke hat SumOfPwn-Mitglied Cengiz Han Sahin entdeckt. Die zweite hat der WordPress-Mitarbeiter Dominik Schilling gefunden, sie betrifft den Upload-Mechanismus.
Kommentare