Sicherheitsupdate: Angreifer könnten WordPress-Websites attackieren
(Bild: serato/shutterstock.com)
Die WordPress-Entwickler haben drei Lücken im Content-Management-System geschlossen.
Admins von mit dem CMS WordPress [1] erstellten Internetseiten sollten aus Sicherheitsgründen die aktuelle Version installieren. Geschieht dies nicht, könnten Angreifer an drei Sicherheitslücken ansetzen.
Wie aus einem Beitrag hervorgeht [2], ist die aktuelle Version 6.0.2 ab sofort verfügbar. Neue Funktion bringt das Release nicht mit. Es handelt sich um ein Sicherheits- und Wartungsupdate. Die nächste größere Version 6.1 ist für 1. November 2022 geplant.
Für alle drei Schwachstellen wurde bislang keine CVE-Nummer vergeben. Eine der Lücken ist mit dem Bedrohungsgrad "hoch" eingestuft. Für die beiden anderen gilt "mittel". Aufgrund von unzureichenden Prüfungen könnten Angreifer an der Link API für eine SQL-Attacke ansetzen. Über die weiteren Schwachstellen sind XSS-Angriffe (stored) vorstellbar.
(des [3])
URL dieses Artikels:
https://www.heise.de/-7249431
Links in diesem Artikel:
[1] https://www.heise.de/thema/Wordpress
[2] https://wordpress.org/news/2022/08/wordpress-6-0-2-security-and-maintenance-release/
[3] mailto:des@heise.de
Copyright © 2022 Heise Medien