Sicherheitsupdate: Mehrere Lücken in Wordpress 5.2.3 geschlossen
Das Content Management System Wordpress ist in einer abgesicherten Version erschienen. Keine Lücke gilt als kritisch. Aktualisieren sollte man trotzdem.
(Bild: Carlo Toffolo/Shutterstock.com)
Angreifer könnten mit dem Content Management System (CMS) Wordpress erstellte Websites attackieren und gegebenenfalls an Nutzerdaten gelangen. In der aktuellen Ausgabe 5.2.3 haben die Entwickler sechs Schwachstellen geschlossen. Beim Großteil handelt es sich um Cross-Site-Scripting-Lücken (XSS). Das CERT-Bund vom Bundesamt für Sicherheit in der Informationstechnik (BSI) stuft das von den Schwachstellen ausgehende Risiko als "mittel" ein.
Über XSS-Lücken können Angreifer Code aus einem eigentlich nicht vertrauenswürdigen Kontext so einschleusen, dass ein Webbrowser ihm vertraut. So könnten ein Angreifer beispielsweise Java-Code in eine URL verpacken und der Browser würde aufgrund einer XSS-Schwachstelle denken, das der Code vom vertrauenswürdigen Website-Server stammt und ihn ausführen. In diesem Fall finden sich die XSS-Lücken beispielsweise in der Vorschau von Beiträgen und beim Hochladen von Multimedia-Dateien.
Ein Update können Admins direkt aus dem Dashboard von Wordpress anstoßen. Weitere Infos zur aktuellen Version listen die Entwickler in einem Beitrag auf. (des)
