WordPress 4.6.1 stopft zwei Lücken
Die Hersteller des CMS WordPress empfehlen, das Update auf WordPress 4.6.1 schnellstmöglich einzuspielen, da es zwei gefährliche Sicherheitslücken schließt. Installationen mit Auto-Update haben die neue Version automatisch in den vorigen Tagen bekommen.
Im populären CMS WordPress stecken zwei kritische Sicherheitslücken, die ein Update auf Version 4.6.1 stopft, warnt der Hersteller in seinem Blog. Das Update sollte daher jeder Webseiten-Betreiber einspielen, der WordPress 4.6 oder älter nutzt und das Auto-Update deaktiviert hat. Auch Nutzer von gehostetem WordPress oder mit aktiviertem Auto-Update sollten zur Sicherheit kontrollieren, ob 4.6.1 installiert ist. Das Update behebt zudem 15 weitere Fehler.
Die erste Lücke erlaubt Site-Benutzern das Ausführen von bösartigem JavaScript, indem sie ein Bild mit manipuliertem Dateinamen hochladen; diese XSS-Lücke hat SumOfPwn-Mitglied Cengiz Han Sahin entdeckt. Die zweite hat der WordPress-Mitarbeiter Dominik Schilling gefunden, sie betrifft den Upload-Mechanismus. (jow)