Sicherheitsupdate: WordPress unter bestimmten Bedingungen angreifbar
In der aktuellen WordPress-Version haben die Entwickler eine Sicherheitslücke geschlossen.
(Bild: serato/shutterstock.com)
Stimmen die Voraussetzungen, können Angreifer mit dem Content-Management-System (CMS) WordPress erstellte Websites attackieren. Sicherheitsforscher bezeichnen die Schwachstelle als "kritisch".
Das Sicherheitsproblem
Die Informationen zur Lücke sind auf der Release-Webseite rar gesät. Weiterführende Fakten gibt es von den Sicherheitsforschern von Wordfence. In einem Beitrag führen sie aus, dass die Schwachstelle in WordPress 6.4 mit der WP_HTML_Token-Klasse eingeführt wurde.
Websites sind aber nur verwundbar, wenn WordPress, was aber derzeit nicht der Fall ist, oder ein Plug-in oder Theme eine PHP-Object-Injection-Schwachstelle aufweist. Ist das der Fall, können Angreifer an der _destruct-Methode ansetzen, die via call_user_func die in der on_destroy-Eigenschaft übergebene Funktion ausführt. Aufgrund der Schwachstelle sind manipulative Eingriffe möglich. Das kann die Ausführung von Schadcode zur Folge haben und Angreifer können die volle Kontrolle erhalten.
Um Seiten dagegen abzusichern, müssen Admins WordPress 6.4.2 installieren.
(des)
