WordPress: Sicherheits-Update für alle Versionen ab 3.7

Neulich erst ist das große Update auf WordPress 5.0 erschienen. Ein Update, welches viele Betreiber noch abwarten. Viele schauen erst einmal, welche Probleme auftreten und installieren dann eine Version mit weniger Fehlern. Nun ist bereits WordPress 5.0.1 erschienen, aber auch ältere WordPress-Versionen haben ein Update verpasst bekommen – und wenn ihr die automatische Aktualisierung aktiviert habt, dann solltet ihr sogar schon mit WordPress 4.9.9 unterwegs sein.

Das Update ist eine Sicherheitsversion für alle Versionen seit WordPress 3.7. Die Entwickler empfehlen dringend, Websites unverzüglich zu aktualisieren. WordPress-Versionen 5.0 und früher sind von den folgenden Fehlern betroffen, die in Version 5.0.1 behoben wurden. Aktualisierte Versionen von WordPress 4.9 und älteren Versionen sind auch für Benutzer verfügbar, die noch nicht auf 5.0 aktualisiert haben:

Karim El Ouerghemmi discovered that authors could alter meta data to delete files that they weren’t authorized to.

Simon Scannell of RIPS Technologies discovered that authors could create posts of unauthorized post types with specially crafted input.

Sam Thomas discovered that contributors could craft meta data in a way that resulted in PHP object injection.

Tim Coen discovered that contributors could edit new comments from higher-privileged users, potentially leading to a cross-site scripting vulnerability.

Tim Coen also discovered that specially crafted URL inputs could lead to a cross-site scripting vulnerability in some circumstances. WordPress itself was not affected, but plugins could be in some situations.

Team Yoast discovered that the user activation screen could be indexed by search engines in some uncommon configurations, leading to exposure of email addresses, and in some rare cases, default generated passwords.

Tim Coen and Slavco discovered that authors on Apache-hosted sites could upload specifically crafted files that bypass MIME verification, leading to a cross-site scripting vulnerability.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

caschy

Hallo, ich bin Carsten! Baujahr 1977, Dortmunder im Norden, BVB-Getaufter und Gründer dieses Blogs. Auch zu finden bei Twitter, Google+, Facebook, Instagram und YouTube. PayPal-Kaffeespende. Mail: carsten@caschys.blog

Das könnte dir auch gefallen…

Mit dem Absenden eines Kommentars willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung. Mit dem Absenden willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.