WordPress-Update schließt sechs Sicherheitslücken
Die Version 4.2.4 des Content-Management-Systems behebt unter anderem eine SQL-Injection-Lücke, durch die Angreifer die Installation übernehmen können.
- Ronald Eikenberg
Mit dem Update auf WordPress 4.2.4 beseitigt das Entwicklerteam sechs Schwachstellen, durch die ein Angreifer das CMS schlimmstenfalls kompromittieren kann. Eine der Lücke ermöglicht potenziell das Einschleusen von Datenbankbefehlen (SQL-Injection), durch drei kann ein Angreifer beliebigen Code in die Site einschleusen (Cross-Site-Scripting, XSS). Zudem vereitelt das Update einen Side-Channel-Angriff und beseitigt einen Bug, durch den Angreifern verhindern konnten, dass ein Beitrag bearbeitet werden kann.
Vier weitere nicht sicherheitsrelevante Fehler gehören nach dem Update ebenfalls der Vergangenheit an. Wer eine WordPress-Installation administriert, kann das Update einfach über das Dashboard anschmeißen. Ist WordPress so konfiguriert, dass es sich automatisch auf den aktuellen Stand bringt, ist das Update möglicherweise schon installiert. (rei)