Alle Versionen bis einschließlich 4.8.2 des Content-Management-Systems (CMS) WordPress sind verwundbar. Ein Ausnutzen könnte zur Übernahme einer Webseite führen. Daher raten die Entwickler, dass Webseitenbetreiber die abgesicherte Ausgabe 4.8.3 möglichst schnell installieren sollten. Die Aktualisierung kann am Besten aus dem Dashboard unter dem Update-Punkt heruntergeladen werden.

Die Entwickler erklären, dass die SQL-Injection-Lücke nicht im Kern von WordPress klaffen soll, sondern Plugins und Themes angreifbar macht. Laut dem Sicherheitsforscher und Entdecker der Schwachstelle Anthony Ferrara widerspricht dieser Aussage allerdings und schildert, dass sein Proof-of-Concept-Code den Kern angegriffen hat. In seinem Blog führt er weitere Details zur Attacke aus.

Laut Ferrara soll das WordPress-Team seit Ende September von der Lücke Bescheid wissen. Dann soll es fünf Wochen gedauert haben, bis WordPress reagiert hat. Da die Entwickler nicht nur die Sicherheitslücke schließen, sondern auch die Kompatibilität mit zahlreichen Plugins und Themes wahren mussten, hat die Entwicklung des Patches weitere Wochen beansprucht.

(ts, hannover)

(siehe auch Heise News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE