Der Hersteller von WordPress warnt in seinem Blog, dass sich in seinem populären CMS WordPress zwei kritische Sicherheitslücken befinden. Ein Update auf Version 4.6.1 schließt diese Lücken.

Jeder Webseiten-Betreiber, der WordPress 4.6 oder älter nutzt und das Auto-Update deaktiviert hat, sollte dieses Update einspielen. Zur Sicherheit sollten auch Nutzer von gehostetem WordPress oder mit aktiviertem Auto-Update kontrollieren, ob 4.6.1 installiert ist. Außerdem behebt das Update 15 weitere Fehler.

Über die erste Lücke können Site-Benutzer bösartigen JavaScript ausführen, indem sie ein Bild mit manipuliertem Dateinamen hochladen. SumOfPwn-Mitglied Cengiz Han Sahin hat diese XSS-Lücke entdeckt. Die zweite Lücke wurde vom WordPress-Mitarbeiter Dominik Schilling gefunden. Sie betrifft den Upload-Mechanismus.

(ts, hannover)

(siehe auch heise-News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE