Sicherheitsupdate: WordPress schließt Rechte-Lücke
Das Update wird an viele Installationen des CMS automatisch verteilt, wer diese Funktion abgeschaltet hat, sollte schnell selbst aktiv werden, so die Entwickler.
Die Entwickler der freien CMS-Software WordPress haben ein Sicherheits-Update [1] veröffentlicht, das drei Sicherheitslücken stopft. Bei zwei der Lücken handelt es sich um Probleme mit Cross-Site Scripting (XSS) – in der Verarbeitung von Shortcodes und in der Auflistung der Benutzerkonten im Admin-Bereich. Die dritte Lücke befindet sich im Rechtesystem und ermöglicht es, Angreifern mit Zugang zu einem Nutzerkonto als privat eingestufte Posts öffentlich zu machen (CVE-2015-5715).
Das Update auf WordPress 4.3.1 wird automatisch installiert, falls Administratoren ihre WordPress-Installation solcherart konfiguriert haben. Admins, die Auto-Updates ausgeschaltet haben, sollten ihre Systeme so schnell wie möglich aktualisieren, empfehlen die Entwickler. Das Update kann manuell von der Webseite des Projektes [2] heruntergeladen werden. (fab [3])
URL dieses Artikels:
https://www.heise.de/-2817617
Links in diesem Artikel:
[1] https://wordpress.org/news/2015/09/wordpress-4-3-1/
[2] https://wordpress.org/download/
[3] mailto:contact@fab.industries
Copyright © 2015 Heise Medien