Drei Sicherheitslücken hat das Team von WordPress in der aktuellen Ausgabe 4.7.2 geschlossen. Die Entwickler verkünden, dass es sich dabei um ein Sicherheits-Release handelt.

Alle WordPress-Versionen vor 4.7.2 sollen von den Schwachstellen bedroht sein. Das Risiko der Lücken hat das Notfallteam CERT Bund des Bundesamtes für Sicherheit in der Informationstechnik (BSI) mit "mittel" eingestuft.

Eine dieser Schwachstellen soll sich durch das Taxonomie-Interface, welches bei Nutzern auftaucht, die dafür gar keine Rechte haben, bemerkbar machen. In WP_Query existiert eine weitere Lücke, über die Angreifer eine SQL Injection auslösen könnten. Zwar soll WordPress davon nicht direkt bedroht sein, aber Plugins könnten in diesem Kontext Schwierigkeiten machen. Das dritte Problem ist eine XSS-Schwachstelle.

Wordpress sollte sich automatisch aktualisieren. Die aktuelle Version kann alternativ auch heruntergeladen werden.

(ts, hannover)

(siehe auch Heise News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE