zurück zum Artikel

Die WordPress-Entwickler haben drei Lücken im Content-Management-System geschlossen.

Admins von mit dem CMS WordPress [1] erstellten Internetseiten sollten aus Sicherheitsgründen die aktuelle Version installieren. Geschieht dies nicht, könnten Angreifer an drei Sicherheitslücken ansetzen.

Wie aus einem Beitrag hervorgeht [2], ist die aktuelle Version 6.0.2 ab sofort verfügbar. Neue Funktion bringt das Release nicht mit. Es handelt sich um ein Sicherheits- und Wartungsupdate. Die nächste größere Version 6.1 ist für 1. November 2022 geplant.

Für alle drei Schwachstellen wurde bislang keine CVE-Nummer vergeben. Eine der Lücken ist mit dem Bedrohungsgrad "hoch" eingestuft. Für die beiden anderen gilt "mittel". Aufgrund von unzureichenden Prüfungen könnten Angreifer an der Link API für eine SQL-Attacke ansetzen. Über die weiteren Schwachstellen sind XSS-Angriffe (stored) vorstellbar.

[3]

(des [4])

URL dieses Artikels:
https://www.heise.de/-7249431

Links in diesem Artikel:
[1] https://www.heise.de/thema/Wordpress
[2] https://wordpress.org/news/2022/08/wordpress-6-0-2-security-and-maintenance-release/
[3] https://pro.heise.de/security/?LPID=39555_HS1L0001_27416_999_0&wt_mc=disp.fd.security-pro.security_pro24.disp.disp.disp
[4] mailto:des@heise.de

Copyright © 2022 Heise Medien