WordPress: Sicherheitsupdate für alle Versionen ab 3.7

0

WordPress: Sicherheitsupdate für alle Versionen ab 3.7

Das große Update auf WordPress 5.0 ist soeben veröffentlicht worden. Viele Betreiber warten noch auf ein Update. Viele prüfen zunächst, welche Probleme es gibt, und installieren dann eine Version mit weniger Fehlern. WordPress 5.0.1 ist jetzt verfügbar, aber ältere WordPress-Versionen haben möglicherweise ein Update verpasst – und wenn sie automatische Updates aktiviert haben, sollten sie bereits WordPress 4.9.9 verwenden.

Dies ist ein Sicherheitsupdate für alle WordPress-Versionen ab 3.7. Die Entwickler raten dringend dazu, Websites so bald wie möglich zu aktualisieren. WordPress-Versionen 5.0 und früher sind von den folgenden Fehlern betroffen, die in Version 5.0.1 behoben wurden. Aktualisierte Versionen von WordPress 4.9 und älteren Versionen sind auch für Benutzer verfügbar, die noch nicht auf WordPress 5.0 aktualisiert haben:

Karim El Ouerghemmi entdeckte, dass Autoren Metadaten ändern konnten, um Dateien zu löschen, für die sie nicht autorisiert waren.

Simon Scannell von RIPS Technologies entdeckte, dass Autoren nicht autorisierte Beiträge erstellen können, indem sie speziell gestaltete Eingabefelder verwenden.

Sam Thomas entdeckte, dass Autoren ihre Metadaten so verändern konnten, dass es zu einer PHP-Objectinjection kam.

Tim Coen entdeckte, dass Autoren neue Kommentare von privilegierteren Benutzern bearbeiten könnten, was zu einem Cross-Site-Scripting-Fehler führen könnte.

Tim Coen entdeckte außerdem, dass speziell gestaltete URLs unter bestimmten Umständen zu einer Cross-Site-Scripting-Schwachstelle führen können. WordPress selbst war nicht betroffen, obwohl Plugins unter bestimmten Umständen betroffen sein könnten.

Das Yoast-Team entdeckte, dass der Bildschirm für die Benutzeraktivierung in einigen ungewöhnlichen Konfigurationen von Suchmaschinen angezeigt werden kann, was zur Offenlegung von E-Mail-Adressen und in einigen wenigen Fällen auch von standardmäßig generierten Passwörtern führt.

Tim Coen und Slavco entdeckten, dass Autoren speziell gestaltete Dateien auf von Apache gehostete Sites hochladen können, die die MIME-Verifizierung umgehen, was zu einer Cross-Site-Scripting-Schwachstelle führt.

Share.

Leave A Reply