WordPress: Sicherheits-Update für alle Versionen ab 3.7
Neulich erst ist das große Update auf WordPress 5.0 erschienen. Ein Update, welches viele Betreiber noch abwarten. Viele schauen erst einmal, welche Probleme auftreten und installieren dann eine Version mit weniger Fehlern. Nun ist bereits WordPress 5.0.1 erschienen, aber auch ältere WordPress-Versionen haben ein Update verpasst bekommen – und wenn ihr die automatische Aktualisierung aktiviert habt, dann solltet ihr sogar schon mit WordPress 4.9.9 unterwegs sein.
Das Update ist eine Sicherheitsversion für alle Versionen seit WordPress 3.7. Die Entwickler empfehlen dringend, Websites unverzüglich zu aktualisieren. WordPress-Versionen 5.0 und früher sind von den folgenden Fehlern betroffen, die in Version 5.0.1 behoben wurden. Aktualisierte Versionen von WordPress 4.9 und älteren Versionen sind auch für Benutzer verfügbar, die noch nicht auf 5.0 aktualisiert haben:
Karim El Ouerghemmi discovered that authors could alter meta data to delete files that they weren’t authorized to.
Simon Scannell of RIPS Technologies discovered that authors could create posts of unauthorized post types with specially crafted input.
Sam Thomas discovered that contributors could craft meta data in a way that resulted in PHP object injection.
Tim Coen discovered that contributors could edit new comments from higher-privileged users, potentially leading to a cross-site scripting vulnerability.
Tim Coen also discovered that specially crafted URL inputs could lead to a cross-site scripting vulnerability in some circumstances. WordPress itself was not affected, but plugins could be in some situations.
Team Yoast discovered that the user activation screen could be indexed by search engines in some uncommon configurations, leading to exposure of email addresses, and in some rare cases, default generated passwords.
Tim Coen and Slavco discovered that authors on Apache-hosted sites could upload specifically crafted files that bypass MIME verification, leading to a cross-site scripting vulnerability.
Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen. Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte - gerne auch mit Humor. In jedes Thema Politik einbringen ist nicht erwünscht.
Du willst nichts verpassen?
Du hast die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren.