Jetzt patchen! SQL-Injection-Lücke bedroht WordPress

Die abgesicherte WordPress-Version 4.8.3 ist erschienen. Nutzer sollten diese zügig installieren, da Angreifer Webseiten via SQL-Injection-Attacke übernehmen könnten.

In Pocket speichern vorlesen Druckansicht 3 Kommentare lesen
Jetzt patchen! SQL-Lücke bedroht WordPress
Lesezeit: 1 Min.

Das Content-Management-System (CMS) WordPress ist verwundbar. Davon sollen alle Versionen bis einschließlich 4.8.2 bedroht sein. Die abgesicherte Ausgabe 4.8.3 steht zum Download bereit. Webseitenbetreiber sollten diese rasch installieren, raten die Entwickler: Ein Ausnutzen kann zur Übernahme einer Webseite führen. Am bequemsten gelingt die Aktualisierung aus dem Dashboard unter dem Update-Punkt.

Die SQL-Injection-Lücke soll nicht im Kern von WordPress klaffen, sondern Plugins und Themes angreifbar machen, erklären die Entwickler. Der Sicherheitsforscher und Entdecker der Schwachstelle Anthony Ferrara widerspricht dieser Aussage und schildert, dass sein Proof-of-Concept-Code den Kern angegriffen hat. Weitere Details zur Attacke führt er in seinem Blog aus.

Das WordPress-Team soll seit Ende September von der Lücke Bescheid wissen. Dann soll es Ferrara zufolge fünf Wochen gedauert haben, bis WordPress reagiert hat. Die Entwicklung des Patches hat weitere Wochen verschlungen, da die Entwickler nicht nur die Sicherheitslücke stopfen, sondern auch die Kompatibilität mit tausenden Plugins und Themes wahren mussten. (des)